ruby-on-rails - 什么应该从 Ruby on Rails 的公共(public)源代码控制中删除？

Question

我一直在网上搜索，但找不到关于从新的公共(public) Rails 应用程序中排除什么的任何好的/最近的例子。我希望在 GitHub 上开源我的应用程序，并且想知道应从源代码管理中删除哪些类型的数据。

据我所知，应该有一个包含私有(private)信息的 config/config.yml 文件。我一直在查看其他文件，它看起来像 config/database.yml、config/intializers/secret_token.rb 和 config/initializers/session_store .rb 也应该被排除在外？

最好的做法是分别排除所有这些文件吗？或者有没有办法在 config/config.yml 中定义所有信息并在每个文件中调用？此外，哪些文件和数据应该保密和隐藏？都是这样吗？

我只是想知道我应该采取什么方法以及什么是最佳实践。感谢您的帮助!

Answer 1

我最近也在研究这个问题；我想在将开源代码推送到 Github 的过程中隐藏敏感信息，然后自动推送到 Travis CI用于测试，然后从 Travis 自动部署到 Heroku .以下是我目前在各种 StackOverflow 问答、博客等中发现的所有细节，希望能为您提供引用，即使仅用于 Rails 应用程序内部的配置(省略任何 {{ . .. }} 你看)

免责声明:我绝不是这方面的专家，所以请记住，可能有比我正在尝试的更好的方法来做到这一点。我希望能够在此问答主题中学习一些新技巧。

---

Rails 应用程序内部

我目前使用 Figaro gem在 ENV 环境变量中隐藏敏感信息。在我的 (.gitignored) config/application.yml 中，我保留了以下信息:

# App keys
SECRET_TOKEN: # your rake secret generated token

development:
  DB_NAME: # your dev db name here
  DB_USER: # your dev db username here
  DB_PASSWORD: # your dev db password here

test:
  DB_NAME: # your test db name here
  DB_USER: # your test db username here
  DB_PASSWORD: # your test db password here

production:
  DB_NAME: # your prod db name here
  DB_USER: # your prod db username here
  DB_PASSWORD: # your prod db password here

# Third Party keys that you will reference in their relevant files
THIRD_PARTY_API_OR_LICENSE_KEY: # list of whatever api/license keys you use

(DB_NAME、DB_USER 和 DB_PASSWORD 将根据您的应用运行的环境动态使用)。

上述文件 (config/application.example.yml) 的空版本被推送到 Github，并附有一些关于如何填写它的说明。

推送到 Github 并引用这些变量的文件如下所示:

config/database.yml
(此处使用 Postgresql，但您应该能够更改您使用的任何数据库的设置)

postgresql: &postgresql
  adapter: postgresql
  database: <%= ENV['DB_NAME'] %>
  username: <%= ENV['DB_USER'] %>
  password: <%= ENV['DB_PASSWORD'] %>
  min_messages: ERROR

defaults: &defaults
  pool: 5
  timeout: 5000
  host: localhost
  <<: *<%= ENV['DB'] || "postgresql" %>

development:
  <<: *defaults

test:
  <<: *defaults

production:
  <<: *defaults

config/initializers/secret_token.rb

if Rails.env.production? && ENV['SECRET_TOKEN'].blank?
  raise 'SECRET_TOKEN environment variable must be set!'
end

YourApp::Application.config.secret_token = 
  ENV['SECRET_TOKEN'] || {{WHATEVER_SECRET_TOKEN_RAILS_GENERATED_BY_DEFAULT}}

(另外，任何文件将引用 THIRD_PARTY_API_OR_LICENSE_KEY 类型的 key 。)

Travis CI 测试

使用 Travis gem 创建加密的 travis 变量.如果您从 Travis worker 直接部署到 Heroku，则需要 Heroku API key 和 Heroku Git URL(有关详细信息，请参阅 this StackOverflow Q&A)，否则如果您仅将其用于测试，则可以省略它们:

$ gem install travis
$ travis encrypt your_username/your_repo HEROKU_API_KEY={{YOUR_HEROKU_API_KEY}}
$ travis encrypt HEROKU_GIT_URL={{YOUR_HEROKU_GIT_URL}} # eg git@heroku.com:your_app.git
$ travis encrypt DB_NAME={{YOUR_DB_NAME_UNDER_TEST}} # eg your_app_test
$ travis encrypt DB_USER={{YOUR_DB_USER_UNDER_TEST}}
$ travis encrypt DB_PASSWORD={{YOUR_DB_PASSWORD_UNDER_TEST}}

(另外，加密您在测试期间可能需要的任何其他 key ，如果有...)

然后将它们添加到.travis.yml
(再次以 Postgresql 为中心，但您应该能够更改您使用的任何数据库的设置)

env:
  global:
    - secure: {{YOUR_ENCRYPTED_HEROKU_API_KEY}}
    - secure: {{YOUR_ENCRYPTED_HEROKU_GIT_URL}}
    - secure: {{YOUR_ENCRYPTED_DB_NAME}}
    - secure: {{YOUR_ENCRYPTED_DB_USER}}
    - secure: {{YOUR_ENCRYPTED_DB_PASSWORD}}
  matrix:
    - DB: postgresql
before_script:
  - psql -c "create database $DB_NAME;" -U $DB_USER
  - RAILS_ENV=test bundle exec rake db:migrate
script:
  - bundle exec rspec spec/
after_success:
  - gem install heroku
  - git remote add heroku $HEROKU_GIT_URL
  # ... see link above for the rest of the config content

多个同名secure标记的变量即可；它们将在配置中显示为 HEROKU_API_KEY=[secure] HEROKU_GIT_URL=[secure] 等

部署到 Heroku

使用 Figaro 的 Heroku rake 任务自动设置 Heroku 在生产中需要看到的环境变量:

$ rake figaro:heroku

或者，手动设置它们:

$ heroku config:set SECRET_TOKEN={{YOUR_SECRET_TOKEN}}
$ heroku config:set DB_NAME={{YOUR_DB_NAME_UNDER_PRODUCTION}} # eg your_app_production
$ heroku config:set DB_USER={{YOUR_DB_USER_UNDER_PRODUCTION}}
$ heroku config:set DB_PASSWORD={{YOUR_DB_PASSWORD_UNDER_PRODUCTION}}
$ heroku config:set THIRD_PARTY_API_OR_LICENSE_KEY={{YOUR_THIRD_PARTY_API_OR_LICENSE_KEY}}

然后，尝试部署。

---

这就是我目前的全部。目前不确定我是否应该隐藏更多信息，或者我是否隐藏得不够好，但这是一项正在进行的工作。