כיצד להימנע מהעלאת המפתח הפרטי שלך ל- GitHub: גישות למניעת הפיכת סודותיך לציבוריים

בלוג 1חדשותמפתחיםפיתוח בלוקצ’יין מוסבר אירועים וכנסים לחץעלונים

הירשם לניוזלטר שלנו.

כתובת דוא”ל

אנו מכבדים את פרטיותך

HomeBlog פיתוח בלוקצ’יין

כיצד להימנע מהעלאת המפתח הפרטי שלך ל- GitHub: גישות למניעת הפיכת סודותיך לציבוריים

שמור על בטיחות המפתחות הפרטיים שלך וסודות ה- API בעת פיתוח חוזים חכמים מאת ConsenSys 7 באוקטובר 2020 הוצג ב 7 באוקטובר 2020

דלת עץ נעולה PPCRJ2J

מאת קוגן ברנן ותומאס היי

כמה פעמים בשנה, א כַּתָבָה עושה ה סיבובים של מפתח אתריום אומלל, שבזמן שהוא בונה פרויקט בלוקצ’יין מעלה בטעות את הביטוי הממוני-סודי-העל שלהם – שנהג לייצר את הארנק שלהם – לדף ה- GitHub הציבורי שלהם. בתוך שניות ארנקם “נפרץ” ונקזז מכספו.

שום דבר לא באמת נפרץ: העסקה המעבירה את כל הנכסים לכתובת “האקר” היא בריאה לחלוטין. לכן הרשת מעבדת ומקבלת אותה. לרשת לא אכפת מי חותם על העסקה או מה כוונתם, רק שהקריפטוגרפיה שלה בריאה. הרשת מניחה כי כל מי שיש ברשותו מנמנון, או המפתחות הפרטיים שנוצרו, הוא הבעלים החוקי של הנכסים בחשבונות המתאימים.. 

זו נחמה קרה לאדם שאיבד שליטה בארנק. התגובה המיידית היא לחשוב שארנקם נפרץ. זה מובן! אבל לפני שמגיעים למצב שעליכם לתהות האם הארנק שלכם נפגע, כדאי לבדוק שאינכם עומדים לחשוף את המידע הפרטי שלכם ללא כוונה..

להלן מספר צעדים סופיים כדי להימנע מליפול למצב דומה. (נקודות בונוס: הטכניקות המתוארות במאמר זה הינן היגיינת ביטחון נהדרת לכל פרויקט, בלוקצ’יין או לא!)

להלן, אנו מתווים שתי גישות כיצד לא לפרסם סודות (מפתחות API, מפתחות פרטיים, ביטויי זרע, סיסמאות מסד נתונים) למאגר GitHub שלך:

גישה 1: שימוש ב-.gitignore, קובץ a.env ו- dotenv (מניח שאנחנו מפתחים תוך שימוש בתבניות המשותפות למוצקות ולזרימת עבודה באמצעות כְּמֵהָה ו MetaMask, למרות שהכללה זו)

שלב 1: קרא את התיעוד ב-.gitignore. ברצינות, קרא את כל עמוד התיעוד.

קובץ A.gitignore מאפשר לך לציין קבצים שאין לעקוב אחריהם. תיצור קובץ.gitignore בתוך הספרייה בה אתה מפתח את הפרויקט שלך. בתוך קובץ זה, תציין את הקבצים שאינך רוצה לעקוב אחריהם. התיעוד יסביר לך את דפוסי הטקסט השונים שבהם אתה יכול להשתמש כדי לא לעקוב אחר (או לעקוב אחר) קבצים.


הנה דוגמה לאחת:

imageofgitignorefile 1

בשורה 20, הוספנו קובץ a.env

שלב 2: הגדר קובץ a.env לאחסון משתני הסביבה שלך

משתני סביבה, יושמו במקור בגרסה 7 יוניקס (שוחררה בשנת 1979 על ידי Bell Labs, לחץ כאן להעתק של המדריך) שנה את התהליכים שמפעילה מערכת מחשוב. משתני סביבה יושמו בכל מערכות ההפעלה שבהן התלמידים שלנו משתמשים לבניית dApps ב- Ethereum (יוניקס, לינוקס, MacOS, Windows). במקרה זה, מתייחסים לסודות שלך כמשתני סביבה וממוקמים בקובץ בשם. Env.

הנה דוגמה לקובץ a.env

fileofenvfile

שלב 3: קרא את התיעוד אודות dotenv. התקן את dotenv.

דוטנב “הוא מודול תלות אפס הטוען משתני סביבה מקובץ a.env לתוך process.env.” (נלקח מ  https://www.npmjs.com/package/dotenv ב- 25 בספטמבר 2020)

להתקין dotenv באמצעות npm

שלב 4: הוסף דרישה (‘dotenv’). Config () לתחילת היישום שלך. השתמש ב- process.env בקובץ זה.

דוגמה לקוד: application.js

// זה החלק העליון של הדרישה של application.js (‘dotenv’). Config () // זו דוגמה של process.env בהמשך בקובץ var PrivateKey = Buffer new (process.env. ["מפתח פרטי"], "hex")) // הנה דוגמה נוספת לשימוש process.env const APIKey = process.env.API_KEY; שפת קוד: JavaScript (javascript)

שלב 5: כעת, אם ברצונך לפרסם במאגר GitHub קיים או לדחוף למאגר GitHub חדש, תוכל לעשות זאת. הסודות שלך לא יופיעו כחלק ממאגר GitHub שלך.

מדריך וידאו ממקור אחר: דניאל שיפמן מ רכבת הקידוד מספק הדרכת וידיאו באמצעות יישום מזג אוויר בסרטון שלו 3.4 הסתרת מפתחות API עם משתני סביבה (dotenv) ודחיפת קוד ל- GitHub.

הדרכת טקסט ממקור אחר: לבלוג של מייסון יש מדריך שנקרא כיצד לפרוס אסימון ERC20 תוך 20 דקות. הוא מתאר כיצד להשתמש בקובץ a.env ו- dotenv בהקשר של פריסת חוזה חכם באמצעות Truffle ו- אינפורה.

גישה 2: שימוש בסודות מוצפנים בפעולות GitHub (מתאים למי שמכיר את GitHub ברמת הארגון, עם ההרשאות הדרושות וחשבון GitHub כדי להיות מסוגל להוציא את זה לפועל).

גישה 2 משתמשת בכלים שנוצרו במיוחד על ידי GitHub כדי לפתור את סוגיית הסודות שהם חלק הכרחי מפריסת קוד, אך לא משהו שצריך לחשוף בפני אנשים שלא צריכים לקבל גישה אליהם. גישה זו רלוונטית ביותר לארגון או לאדם המשתמש ב- GitHub

שלב 1: קרא את התיעוד ב- סודות מוצפנים. ברצינות, קרא את התיעוד.

סודות מוצפנים מאפשרים לך לאחסן ולהשתמש בסודות במאגר GitHub יחיד או במאגרים רבים של GitHub. קרא את התיעוד לגבי אופן השימוש בהם, מכיוון ש- GitHub עושה עבודה מצוינת בהסבר אופן השימוש סודות מוצפנים בְּתוֹך פעולות GitHub

שלב 2: בצע את התיעוד המורה לך לעשות. זה תיעוד די טוב. 

סיכום

עכשיו אתה יודע שתי גישות כדי למנוע את פרסום הסודות שלך ל- GitHub. האם ישנן גישות אחרות לעשות זאת? בְּהֶחלֵט. להלן שתי שיטות שעובדות עבורנו. הנקודה העיקרית שאנחנו מנסים להעביר היא לוודא שאתה חושב היכן הסודות שלך עשויים להופיע, ולהבטיח שתנקוט בצעדים כדי להגן על עצמך. הישאר בטוח שם בחוץ.

אבטחה חוזים חכמים סולידיות עלון הירשם לניוזלטר שלנו לקבלת החדשות האחרונות של Ethereum, פתרונות ארגוניים, משאבי מפתחים ועוד. כתובת דוא”ל תוכן בלעדיכיצד לבנות מוצר בלוקצ'יין מוצלחוובינר

כיצד לבנות מוצר בלוקצ’יין מוצלח

כיצד להגדיר ולהפעיל צומת אתריוםוובינר

כיצד להגדיר ולהפעיל צומת אתריום

כיצד לבנות ממשק API משלך של Ethereumוובינר

כיצד לבנות ממשק API משלך של Ethereum

כיצד ליצור אסימון חברתיוובינר

כיצד ליצור אסימון חברתי

שימוש בכלי אבטחה בפיתוח חוזים חכםוובינר

שימוש בכלי אבטחה בפיתוח חוזים חכם

העתיד של נכסים דיגיטליים של פיננסים ו- DeFiוובינר

עתיד האוצר: נכסים דיגיטליים ו- DeFi

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map