성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
[정성태] 만드실 수 있습니다. 단지, Unity 엔진 내의 스크립트와 W...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>github workflow/actions에서 빌드시 snk 파일 다루는 방법 - Encrypted secrets</h1> <p> <a target='tab' href='https://www.sysnet.pe.kr/2/0/12524'>Azure Devops</a>의 경우 snk 파일처럼 숨겨야 할 파일이 있다면 <a target='tab' href='https://www.sysnet.pe.kr/2/0/12526'>Secure file</a>을 제공합니다.<br /> <br /> github 빌드 시에도 이와 유사한 장치가 필요한데요, 단지 Azure Devops처럼 직접적인 기능은 없는 것 같습니다. 공식 문서를 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Encrypted secrets ; <a target='tab' href='https://docs.github.com/en/actions/reference/encrypted-secrets'>https://docs.github.com/en/actions/reference/encrypted-secrets</a> </pre> <br /> "Settings" 메뉴의 좌측 목록에서 "Secrets"가 나오는데,<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='enc_secret_1.png' src='/SysWebRes/bbs/enc_secret_1.png' /><br /> <br /> "New repository secret"을 누르면 "Name"과 "Value"를 입력할 수 있는 창이 나옵니다. 즉, (텍스트라면 상관없겠지만 snk는 바이너리 파일이므로) 파일을 직접 업로드해 보관하는 형식은 아니어서 다른 시나리오로 접근해야 합니다. (당연하겠지만, 이곳에 입력한 value 값은 보안상 향후 두 번 다시 볼 수 없습니다.)<br /> <br /> 우선, secrets가 64KB 제약이 있으므로 아마도 그 수준으로 맞출 수 있는 파일이라면 base64 인코딩 등의 방식을 이용해 Value에 값을 지정하고 이후 디코딩하는 식으로 사용할 수 있겠지만, 그 이상의 파일이라면 <a target='tab' href='https://docs.github.com/en/actions/reference/encrypted-secrets#limits-for-secrets'>repo에 보안이 필요한 파일을 미리 암호화해 올려놓은 후 secrets에 파일을 암호화한 것에 대한 복호화 키를 저장해 처리하는 식</a>으로 할 수 있습니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 그럼, 직접 실습을 해볼까요? ^^<br /> <br /> snk 파일에 대한 관리 편의성을 고려해 보면, 개인적으로는 .sln 파일이 있는 기준 폴더의 상위에 놓는 것을 선호합니다. 왜냐하면 실수로 업로드되는 것을 방지할 수도 있고 동일한 프로젝트 파일로 로컬 빌드뿐만 아니라 빌드 서버에서의 빌드 스크립트에도 사용할 수 있기 때문입니다.<br /> <br /> 자, 그럼 .sln 파일보다 상위 폴더에 있는 snk 파일을 <a target='tab' href='https://gpg4win.org/'>gpg.exe</a>를 이용해 암호화 시킨 후,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // 실행 중 암호를 묻게 되는데, 그 값을 기억해 둡니다. C:\temp> <span style='color: blue; font-weight: bold'>gpg --symmetric --cipher-algo AES256 test.snk</span> // 실행 후, test.snk.gpg 파일 생성 </pre> <br /> gpg 수행 중에 입력한 암호키를 위에서 설명했던 "Settings" 메뉴를 이용해 "TESTSNKKEY"라는 이름으로 등록합니다. 이후, 해당 repo에 암호화된 test.snk.gpg 파일을 .sln 파일과 동일한 폴더에 복사한 후 commit 합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\temp\Sample> <span style='color: blue; font-weight: bold'>git add test.snk.gpg</span> C:\temp\Sample> <span style='color: blue; font-weight: bold'>git commit -m "add test.snk.gpg"</span> [master 39c08aa] add test.snk.gpg 1 file changed, 0 insertions(+), 0 deletions(-) create mode 100644 test.snk.gpg C:\temp\Sample> <span style='color: blue; font-weight: bold'>git push origin master</span> Counting objects: 3, done. Delta compression using up to 4 threads. Compressing objects: 100% (3/3), done. Writing objects: 100% (3/3), 965 bytes | 965.00 KiB/s, done. Total 3 (delta 1), reused 0 (delta 0) remote: Resolving deltas: 100% (1/1), completed with 1 local object. To https://github.com/stjeong/Sample.git a4a6856..39c08aa master -> master </pre> <br /> 이제 남은 작업이라면, <a target='tab' href='https://www.sysnet.pe.kr/2/0/12542'>github action</a>에서 gpg의 복호화 작업을 하는 것입니다. 이를 위해 다음과 같이 checkout 후, msbuild 하기 전에 gpg로 복호화 작업을 수행하면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > name: MSBuild on: [push] env: SOLUTION_FILE_PATH: . BUILD_CONFIGURATION: Release jobs: build: runs-on: windows-latest steps: - uses: actions/checkout@v2 <span style='color: blue; font-weight: bold'>- name: Decrypt snk run: gpg --quiet --batch --yes --decrypt --passphrase="${{ secrets.TESTSNKKEY }}" --output ../test.snk ./test.snk.gpg</span> # ...[생략]... </pre> <br /> 간단하죠?! ^^ 이에 대한 실질적인 사용 예는 다음의 yml에서 확인할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > XmlCodeGenerator/.github/workflows/msbuild.yml ; <a target='tab' href='https://github.com/stjeong/XmlCodeGenerator/blob/master/.github/workflows/msbuild.yml'>https://github.com/stjeong/XmlCodeGenerator/blob/master/.github/workflows/msbuild.yml</a> </pre> <br /> 참고로, snk 관련해 검색해 보면, 공개한 오픈 소스에 snk 파일 등의 개인 파일을 사용하는 것 자체가 어울리는 정책은 아니라는 글들을 보게 될 것입니다. 제 개인적인 의견으로도 그것이 맞는다고 생각되지만, 그래도 부득이 사용해야 할 경우가 나올 것이므로 그럴 때 위의 방법을 고려하면 되겠습니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 혹시 다음과 같은 오류가 발생한다면?<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Run gpg --quiet --batch --yes --decrypt --passphrase="$TESTSNKKEY" --output ../*** ./***.gpg gpg --quiet --batch --yes --decrypt --passphrase="$TESTSNKKEY" --output ../*** ./***.gpg shell: C:\Program Files\PowerShell\7\pwsh.EXE -command ". '{0}'" env: SOLUTION_FILE_PATH: . BUILD_CONFIGURATION: Release TESTSNKKEY: *** gpg: gcry_kdf_derive failed: Invalid data gpg: decryption failed: No secret key Error: Process completed with exit code 1. </pre> <br /> "<span class="tex2jax_ignore">$</span>TESTSNKKEY"가 아니라 "<span class="tex2jax_ignore">$</span>{{ TESTSNKKEY }}"라고 지정해야 합니다. "<a target='tab' href='https://docs.github.com/en/actions/reference/encrypted-secrets#limits-for-secrets'>Encrypted secrets</a>" 글의 예제에서는 복호화 작업을 위한 리눅스 용 sh 파일을 별도로 만들어서 작업했고 yml에서 그에 대해 env 값으로 넘겨주기 때문에 "<span class="tex2jax_ignore">$</span>TESTSNKKEY"라는 식으로 사용할 수 있었던 것입니다. <br /> <br /> 또는, input 파일을 지정하지 않은 경우에는 이런 식으로 오류가 발생합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Run gpg --quiet --batch --yes --decrypt --passphrase="$TESTSNKKEY" --output ../test.snk gpg --quiet --batch --yes --decrypt --passphrase="$TESTSNKKEY" --output ../test.snk shell: C:\Program Files\PowerShell\7\pwsh.EXE -command ". '{0}'" env: SOLUTION_FILE_PATH: . BUILD_CONFIGURATION: Release gpg: decrypt_message failed: Unknown system error Error: Process completed with exit code 1. </pre> <br /> 보는 바와 같이 gpg.exe의 오류 메시지가 꽤나 불친절합니다. ^^;<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1459
(왼쪽의 숫자를 입력해야 합니다.)