github workflow/actions에서 빌드시 snk 파일 다루는 방법 - Encrypted secrets
Azure Devops의 경우 snk 파일처럼 숨겨야 할 파일이 있다면 Secure file을 제공합니다.
github 빌드 시에도 이와 유사한 장치가 필요한데요, 단지 Azure Devops처럼 직접적인 기능은 없는 것 같습니다. 공식 문서를 보면,
Encrypted secrets
; https://docs.github.com/en/actions/reference/encrypted-secrets
"Settings" 메뉴의 좌측 목록에서 "Secrets"가 나오는데,
"New repository secret"을 누르면 "Name"과 "Value"를 입력할 수 있는 창이 나옵니다. 즉, (텍스트라면 상관없겠지만 snk는 바이너리 파일이므로) 파일을 직접 업로드해 보관하는 형식은 아니어서 다른 시나리오로 접근해야 합니다. (당연하겠지만, 이곳에 입력한 value 값은 보안상 향후 두 번 다시 볼 수 없습니다.)
우선, secrets가 64KB 제약이 있으므로 아마도 그 수준으로 맞출 수 있는 파일이라면 base64 인코딩 등의 방식을 이용해 Value에 값을 지정하고 이후 디코딩하는 식으로 사용할 수 있겠지만, 그 이상의 파일이라면
repo에 보안이 필요한 파일을 미리 암호화해 올려놓은 후 secrets에 파일을 암호화한 것에 대한 복호화 키를 저장해 처리하는 식으로 할 수 있습니다.
그럼, 직접 실습을 해볼까요? ^^
snk 파일에 대한 관리 편의성을 고려해 보면, 개인적으로는 .sln 파일이 있는 기준 폴더의 상위에 놓는 것을 선호합니다. 왜냐하면 실수로 업로드되는 것을 방지할 수도 있고 동일한 프로젝트 파일로 로컬 빌드뿐만 아니라 빌드 서버에서의 빌드 스크립트에도 사용할 수 있기 때문입니다.
자, 그럼 .sln 파일보다 상위 폴더에 있는 snk 파일을
gpg.exe를 이용해 암호화 시킨 후,
// 실행 중 암호를 묻게 되는데, 그 값을 기억해 둡니다.
C:\temp> gpg --symmetric --cipher-algo AES256 test.snk
// 실행 후, test.snk.gpg 파일 생성
gpg 수행 중에 입력한 암호키를 위에서 설명했던 "Settings" 메뉴를 이용해 "TESTSNKKEY"라는 이름으로 등록합니다. 이후, 해당 repo에 암호화된 test.snk.gpg 파일을 .sln 파일과 동일한 폴더에 복사한 후 commit 합니다.
C:\temp\Sample> git add test.snk.gpg
C:\temp\Sample> git commit -m "add test.snk.gpg"
[master 39c08aa] add test.snk.gpg
1 file changed, 0 insertions(+), 0 deletions(-)
create mode 100644 test.snk.gpg
C:\temp\Sample> git push origin master
Counting objects: 3, done.
Delta compression using up to 4 threads.
Compressing objects: 100% (3/3), done.
Writing objects: 100% (3/3), 965 bytes | 965.00 KiB/s, done.
Total 3 (delta 1), reused 0 (delta 0)
remote: Resolving deltas: 100% (1/1), completed with 1 local object.
To https://github.com/stjeong/Sample.git
a4a6856..39c08aa master -> master
이제 남은 작업이라면,
github action에서 gpg의 복호화 작업을 하는 것입니다. 이를 위해 다음과 같이 checkout 후, msbuild 하기 전에 gpg로 복호화 작업을 수행하면 됩니다.
name: MSBuild
on: [push]
env:
SOLUTION_FILE_PATH: .
BUILD_CONFIGURATION: Release
jobs:
build:
runs-on: windows-latest
steps:
- uses: actions/checkout@v2
- name: Decrypt snk
run: gpg --quiet --batch --yes --decrypt --passphrase="${{ secrets.TESTSNKKEY }}" --output ../test.snk ./test.snk.gpg
# ...[생략]...
간단하죠?! ^^ 이에 대한 실질적인 사용 예는 다음의 yml에서 확인할 수 있습니다.
XmlCodeGenerator/.github/workflows/msbuild.yml
; https://github.com/stjeong/XmlCodeGenerator/blob/master/.github/workflows/msbuild.yml
참고로, snk 관련해 검색해 보면, 공개한 오픈 소스에 snk 파일 등의 개인 파일을 사용하는 것 자체가 어울리는 정책은 아니라는 글들을 보게 될 것입니다. 제 개인적인 의견으로도 그것이 맞는다고 생각되지만, 그래도 부득이 사용해야 할 경우가 나올 것이므로 그럴 때 위의 방법을 고려하면 되겠습니다.
혹시 다음과 같은 오류가 발생한다면?
Run gpg --quiet --batch --yes --decrypt --passphrase="$TESTSNKKEY" --output ../*** ./***.gpg
gpg --quiet --batch --yes --decrypt --passphrase="$TESTSNKKEY" --output ../*** ./***.gpg
shell: C:\Program Files\PowerShell\7\pwsh.EXE -command ". '{0}'"
env:
SOLUTION_FILE_PATH: .
BUILD_CONFIGURATION: Release
TESTSNKKEY: ***
gpg: gcry_kdf_derive failed: Invalid data
gpg: decryption failed: No secret key
Error: Process completed with exit code 1.
"
$TESTSNKKEY"가 아니라 "
${{ TESTSNKKEY }}"라고 지정해야 합니다. "
Encrypted secrets" 글의 예제에서는 복호화 작업을 위한 리눅스 용 sh 파일을 별도로 만들어서 작업했고 yml에서 그에 대해 env 값으로 넘겨주기 때문에 "
$TESTSNKKEY"라는 식으로 사용할 수 있었던 것입니다.
또는, input 파일을 지정하지 않은 경우에는 이런 식으로 오류가 발생합니다.
Run gpg --quiet --batch --yes --decrypt --passphrase="$TESTSNKKEY" --output ../test.snk
gpg --quiet --batch --yes --decrypt --passphrase="$TESTSNKKEY" --output ../test.snk
shell: C:\Program Files\PowerShell\7\pwsh.EXE -command ". '{0}'"
env:
SOLUTION_FILE_PATH: .
BUILD_CONFIGURATION: Release
gpg: decrypt_message failed: Unknown system error
Error: Process completed with exit code 1.
보는 바와 같이 gpg.exe의 오류 메시지가 꽤나 불친절합니다. ^^;
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]