fix(cd): keep 188 deploy key out of step env
All checks were successful
Code Review / ai-code-review (push) Successful in 11s

This commit is contained in:
Your Name
2026-05-13 19:41:12 +08:00
parent 88dbcd912e
commit 830dc0dcd0
3 changed files with 38 additions and 3 deletions

View File

@@ -2056,6 +2056,12 @@ Phase 6 完成後
- Security noteCD job log 觀察到 188 deploy key 內容會出現在 step env 區塊;未在本文件保存 secret 值。下一步 P0 必須輪換該 deploy key並改造 workflow避免 multiline secret 以 env 形式進入 Gitea Actions logs。
- 下一步 T14d/P0先處理 CI secret log exposure再做安全 live-fire 驗證 Telegram 新卡在真實事件上的流程進度。
**T14d/P0 Gitea CD 188 deploy key log exposure stopgap2026-05-13 台北)**
- 觸發T14c CD log 觀察到 `Sync Ops Scripts to 188` step 以 step-level env 傳入 multiline 188 deploy keyGitea Actions 會在 job log 的 env 區塊顯示內容。未在 repo / docs 保存任何 secret 值,但應視為已暴露。
- 止血:`.gitea/workflows/cd.yaml` 移除 `SSH_KEY_188` step env改在 shell 內直接寫入 `~/.ssh/deploy_key_188`,避免 key 以 env 形式進入 Actions log。
- 驗證:`ruby -e 'require "yaml"; YAML.load_file(".gitea/workflows/cd.yaml"); puts "yaml ok"'` 通過。
- 邊界:這不是完整安全事件處置;仍需輪換 188 deploy key、清理/限制歷史 job log 可見性,並以受控 `workflow_dispatch` 驗證新 workflow 不再暴露 secret。
---
### 2026-04-20 晚 (台北) — C1-C4 全流程串接 — Playbook 鏈路保護commit de2d34d