kerren/git-secret-action Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

git-secret-action 镜像文档

镜像概述

git-secret-action镜像是基于Alpine构建的预构建镜像，用于解密使用git-secret工具加密的仓库秘密。该镜像封装了git-secret二进制文件，核心依赖仅为GPG私钥，可便捷集成到CI/CD流程或开发环境中。

核心功能与特性

• 秘密解密：支持解密使用git-secret加密的仓库文件
• 灵活认证：兼容带密码和不带密码的GPG私钥
• 轻量高效：基于Alpine镜像构建，体积小、启动快
• 易于集成：可直接用于GitHub Actions工作流

使用场景与适用范围

• 开发团队共享加密配置文件（如环境变量、IP地址等非超机密信息）
• CI/CD流程中自动解密构建或部署所需的加密资源
• 需要在多环境（本地开发、CI服务器）中安全访问加密内容的场景

使用方法与配置说明

GitHub Actions集成

在GitHub Actions工作流文件（.github/workflows/*.yml）中添加以下步骤：

yaml
jobs:
  git_secret_job:
    runs-on: ubuntu-latest
    name: 解密秘密
    steps:
      - name: 检出代码
        uses: actions/checkout@v3

      - name: 解密git-secret加密文件
        uses: titanlien/git-secret-action@latest
        with:
          gpg-private-key: ${{ secrets.GPG_PRIVATE_KEY }}  # 必需，GPG私钥
          # 可选，GPG私钥密码（若无密码可省略此行）
          gpg-private-key-passphrase: ${{ secrets.GPG_PRIVATE_KEY_PASSPHRASE }}

参数说明

推荐实践

生成CI专用GPG密钥

1. 生成GPG密钥：

   bash
   gpg --full-generate-key
   

   按照提示完成配置（推荐使用CI专用***作为密钥标识）

2. 导出私钥（ASCII装甲格式）：

   bash
   gpg --armour --export-secret-keys GPG_KEY_ID
   

   其中GPG_KEY_ID为生成密钥时使用的***地址

3. 将导出的私钥保存为GitHub仓库密钥（Settings > Secrets > New repository secret），命名为GPG_PRIVATE_KEY（若有密码，同时保存密码为GPG_PRIVATE_KEY_PASSPHRASE）

项目路线图

• 支持指定GPG密钥文件路径（替代环境变量传入）
• 增加强制覆盖现有文件的解密选项

为什么选择git-secret?

git-secret适用于开发过程中管理非超机密但需团队共享的信息。例如：

• 包含内部服务IP地址的脚本
• 开发/测试环境配置文件
• 团队共享的API密钥（非生产环境）

通过git-secret加密后，可安全存储在代码仓库中，仅授权开发者和CI流程可解密访问，既保证了信息共享效率，又避免敏感信息泄露。