security - 在 Electron 桌面应用程序中存储敏感信息的最佳实践

Question

我在使用 Electron.js 和 React.js 的桌面应用程序中工作，我必须存储一些敏感信息，如 API key 和数据库凭据。因此，我开始挖掘并决定在 JSON 文件中使用混淆方法加密数据库凭据。
现在我有两个 SECRET_KEYS ，一个用于加密，一个用于混淆。所以我关心的是如何安全地保存这些信息。我对 Electron 不是很熟悉，但如果我错了，请纠正我:据我所知，我们没有安全使用自定义环境变量的选项，因为我们需要将这些变量存储在本地才能使用在应用程序中。所以做了一些研究，我发现其中一种策略是使用某种外部服务来拥有这些 key 。
PS:加密 key 将保存在 S3 中，但我仍然需要处理我的 AWS KEYS。
所以我使用 Github Actions 并在 中设置键值 secret 选项。基本上，我有一个工作流程，其中有一个 env 选项来指定我的变量。这个过程发生在我的构建之后。 -- 我正在使用 Typescript，所以我必须运行我的构建脚本才能将代码转换为 JS。
最后，在我的 Webpack 上，我必须使用 环境插件 为了访问我的代码中的环境变量值。
基本上，我完成所有这些过程是为了不在代码中硬编码我的 KEYS 或将它们存储在本地，但我不太理解硬编码 key (考虑到我使用的是私有(private)存储库)和拥有这个之间的区别使用 Github Actions 设置键值的过程。因为理论上，Github 将取代我的 process.env.MY_KEY与值(value)，对不对？或不？
我的意思是，如果黑客使用某种软件来获取我的“源代码”，他能看到我的 KEYS 内容吗？我使用 Github Actions 所做的过程足够安全，还是只是用来尽可能多地隐藏我的键值？

Answer 1

如果您在构建过程中特别需要 key ，那么是的，我建议您使用 github action secrets。因为它会在您构建应用程序时保护您的 key 安全。

    - name: Run Build
      run: # run commands that require keys for building something
      env:
         SECRET_KEY_1: ${{ secrets. SECRET_KEY_1 }}
         SECRET_KEY_2: ${{ secrets. SECRET_KEY_1 }}

如果您在运行时需要它们，这意味着在运行您的 Electron 应用程序时，您将需要在系统本身中存储 key ，使用类似的东西
https://github.com/atom/node-keytar

    const keytar = require('keytar')

    // Creates a secret
    keytar.setPassword('MyAppName', 'AccountName', 'secret');

    // Reads the secret
    const secret = keytar.getPassword('MyAppName', 'AccountName');

根据用户是在 Windows、Linux 还是 MacO 中，系统 secret 持有者会提示他们。例如在 MacOs 中，他们会收到钥匙串(keychain)的提示