Proteger dados confidenciais no Docker

Desenvolver código de autenticação para repositórios de código-fonte aberto pode ser uma tarefa assustadora; o senhor tem medo de que os hackers encontrem brechas no seu código, mas também fica petrificado com a possibilidade de acidentalmente enviar credenciais confidenciais para um repositório público. Já vi acontecerem confirmações não intencionais de credenciais, e o pânico que se instala em toda a organização fará seus olhos lacrimejarem.

O padrão para fornecer credenciais confidenciais em um ambiente de produção é usar variáveis de ambiente. O Docker, por meio de docker-compose e docker-compose.ymlpermite facilmente que os desenvolvedores introduzam variáveis e valores de ambiente, mas o senhor não quer enviá-los para um repositório, então a resposta é criar um docker-compose.override.yml em seu computador local que contém as informações confidenciais:

version: '2'
services:
  myservice:
    environment:
      - KEY=Value
      - CLIENT_ID=ljlxjlkfj3298749sd98xzuv9z8x
      - CLIENT_SECRET=32xlkjwe9sd9x8jx9we8sd9sdad
      - SITE_DOMAIN=davidwalsh.local

As informações contidas no docker-compose.override.yml são adicionadas (ou substituem) as diretivas em docker-compose.yml. Como o git e o mercurial permitirão que o senhor faça o commit do docker-compose.override.yml a outra etapa importante é adicionar seu arquivo docker-compose.override.yml ao seu arquivo .gitignore ou .hgignore impedindo que o arquivo seja visto pelas duas ferramentas de controle de versão.

docker-compose.override.yml

Usando docker-compose.override.yml e .gitignore é uma ideia simples, mas é importante implementar essa técnica o mais rápido possível. A segurança é de extrema importância, especialmente quando o repositório é público, e a adição casual de dados confidenciais da API durante o desenvolvimento causará problemas.