1 dienoraštisNewsDevelopersEnterpriseBlockchain ExplainedEvents and ConferencesPressNaujienlaiškiai

Užsiprenumeruokite mūsų naujienlaiškį.

Elektroninio pašto adresas

Mes gerbiame jūsų privatumą

Pagrindinis dienoraštisBlokavimo grandinės plėtra

Kaip išvengti privataus rakto įkėlimo į „GitHub“: būdai, kaip užkirsti kelią savo paslapčių viešinimui

Kurdami išmaniąsias sutartis saugokite savo asmeninius raktus ir API paslaptis. „ConsenSys“ 2020 m. Spalio 7 d. Paskelbta 2020 m. Spalio 7 d.

užrakintos medinės durys PPCRJ2J

Autoriai Cooganas Brennanas ir Thomas Hay

Kelis kartus per metus, a istorija daro raundai nelaimingo „Ethereum“ kūrėjo, kuris, kurdamas „blockchain“ projektą, netyčia į savo viešą „GitHub“ puslapį įkelia savo itin slaptą mnemoninę frazę, naudojamą piniginei generuoti. Per kelias sekundes jų piniginė buvo „nulaužta“ ir išeikvota jos lėšų.

Nieko iš tikrųjų nebuvo įsilaužta: sandoris, perkeliantis visą turtą į „įsilaužėlių“ adresą, yra visiškai pagrįstas. Štai kodėl tinklas jį apdoroja ir priima. Tinklui nesvarbu, kas pasirašo sandorį ar koks buvo jų tikslas, tik tai, kad jo kriptografija yra patikima. Tinklas daro prielaidą, kad kiekvienas asmuo, turintis mnemoniką ar sugeneruotus asmeninius raktus, yra teisėtas atitinkamų sąskaitų turto savininkas.. 

Tai yra šaltas komfortas asmeniui, kuris prarado savo piniginės kontrolę. Neatidėliotina reakcija yra manyti, kad buvo įsilaužta į jų piniginę. Tai suprantama! Bet prieš tai, kai turite pasidomėti, ar jūsų piniginė nebuvo pažeista, gerai patikrinti, ar nesąmoningai neatskleisite savo asmeninės informacijos.

Štai keletas galutinių žingsnių, kad išvengtumėte panašios padėties. (Papildomi taškai: šiame straipsnyje aprašytos technikos yra puiki saugumo higiena bet kokiam projektui, blokinei grandinei ar ne!)

Žemiau mes apibūdiname du būdus, kaip NEGALIMA paskelbti paslapčių (API raktų, privačių raktų, pradinių frazių, duomenų bazių slaptažodžių) savo „GitHub“ saugykloje:

1 metodas: naudojant.gitignore, a.env failą ir dotenv (daroma prielaida, kad mes kuriame bendrus „Solidity“ modelius ir darbo eigą Trumas ir MetaMask, nors tai buvo apibendrinta)

1 žingsnis: perskaitykite dokumentus.gitignore. Rimtai, perskaitykite visą dokumentacijos puslapį.

A.gitignore failas leidžia nurodyti failus, kurių nereikėtų sekti. Kataloge, kuriame kuriame savo projektą, sukursite a.gitignore failą. Tame faile nurodysite failus, kurių nenorite stebėti. Dokumentuose paaiškinsite įvairius teksto šablonus, kuriuos galite naudoti norėdami nesekti (ar sekti) failus.

Štai vieno pavyzdys:

1

20 eilutėje pridėjome a.env failą

2 žingsnis: Nustatykite a.env failą, kad išsaugotumėte aplinkos kintamuosius

Aplinkos kintamieji, iš pradžių įdiegti „Unix 7“ versijoje (1979 m. Išleista „Bell Labs“), spustelėkite čia, norėdami gauti vadovo kopiją) pakeisti skaičiavimo sistemos vykdomą (-us) procesą (-us). Aplinkos kintamieji buvo įdiegti visose operacinėse sistemose, kurias mūsų studentai naudoja kurdami „dApps“ ant „Ethereum“ („Unix“, „Linux“, „MacOS“, „Windows“). Tokiu atveju jūsų paslaptys traktuojamos kaip aplinkos kintamieji ir dedamos į failą pavadinimu.env.

Čia yra a.env failo pavyzdys

examplefenvfile pavyzdys

3 žingsnis: perskaitykite dokumentaciją apie dotenv. Įdiekite dotenv.

Dotenv „Yra nulinės priklausomybės modulis, įkeliantis aplinkos kintamuosius iš a.env failo į process.env.“ (Gauta iš  https://www.npmjs.com/package/dotenv 2020 m. rugsėjo 25 d.)

įdiekite dotenv naudodami npm įdiekite dotenv

4 žingsnis: Pridėkite reikalauti („dotenv“). Config () prie savo programos pradžios. Šiame faile naudokite process.env.

Kodo pavyzdys: application.js

// Tai yra top. application.js reikalauti (‘dotenv’). Config () // Tai yra proceso.env pavyzdys vėliau faile var PrivateKey = naujas buferis (process.env. ["PRIVATE_KEY"], "šešiakampis")) // Štai dar vienas procesas.env const APIKey = process.env.API_KEY; Kodo kalba: „JavaScript“ (javascript) naudojimo pavyzdys

5 žingsnis: Dabar, jei norite paskelbti esamoje „GitHub“ saugykloje arba perkelti į naują „GitHub“ saugyklą, galite tai padaryti. Jūsų paslaptys nebus rodomos jūsų „GitHub“ saugykloje.

Vaizdo įrašų pamoka iš kito šaltinio: Danielius Schiffmanas iš Koduojantis traukinys pateikia vaizdo įrašo pamoką, kurioje savo vaizdo įraše naudojama orų programa 3.4 API raktų su aplinkos kintamaisiais (dotenv) slėpimas ir kodo perkėlimas į „GitHub“.

Teksto pamoka iš kito šaltinio: „Mason’s Blog“ yra vadinamoji pamoka Kaip įdiegti ERC20 žetoną per 20 minučių. Jame aprašoma, kaip naudoti a.env failą ir dotenv diegiant išmaniąją sutartį naudojant „Truffle“ ir Infura.

2 metodas: šifruotų paslapčių naudojimas „GitHub“ veiksmuose (tinka tiems, kurie gerai žino „GitHub“ organizacijos lygiu, turėdami reikiamus leidimus ir „GitHub“ paskyrą, kad galėtų jas praktiškai pritaikyti).

2 metodas naudoja įrankius, specialiai sukurtus „GitHub“, kad išspręstų paslapčių klausimą, kuris yra būtina kodo diegimo dalis, bet ne tai, kas turėtų būti atskleista asmenims, neturintiems prieigos prie jų. Šis požiūris labiausiai tinka organizacijai ar asmeniui, naudojančiam „GitHub“

1 žingsnis: perskaitykite dokumentus Šifruotos paslaptys. Rimtai, perskaitykite dokumentaciją.

Šifruotos paslaptys leidžia saugoti ir naudoti paslaptis vienoje „GitHub“ saugykloje arba daugelyje „GitHub“ saugyklų. Perskaitykite dokumentus, kaip juos naudoti, nes „GitHub“ puikiai paaiškina, kaip juos naudoti Šifruotos paslaptys per „GitHub“ veiksmai

2 žingsnis: atlikite tai, kas liepiama dokumentuose. Tai gana gera dokumentacija. 

Išvada

Dabar žinote du būdus, kaip išvengti savo paslapčių paskelbimo „GitHub“. Ar yra kitų būdų tai padaryti? Be abejo. Štai du metodai, kurie mums tinka. Pagrindinis dalykas, kurį bandome perteikti, yra įsitikinti, kad galvojate apie tai, kur gali pasirodyti jūsų paslaptys, ir užtikrinti, kad imsitės priemonių apsisaugoti. Būkite saugūs ten.

„SecuritySmart ContractsSolidityNewsletter“ Užsiprenumeruokite mūsų naujienlaiškį, kuriame rasite naujausias „Ethereum“ naujienas, įmonės sprendimus, kūrėjų išteklius ir dar daugiau. El. Pašto adresas Išskirtinis turinysKaip sukurti sėkmingą „Blockchain“ produktąInternetinis seminaras

Kaip sukurti sėkmingą „Blockchain“ produktą

Kaip nustatyti ir paleisti „Ethereum“ mazgąInternetinis seminaras

Kaip nustatyti ir paleisti „Ethereum“ mazgą

Kaip susikurti savo „Ethereum“ APIInternetinis seminaras

Kaip susikurti savo „Ethereum“ API

Kaip sukurti socialinį ženkląInternetinis seminaras

Kaip sukurti socialinį ženklą

Saugumo priemonių naudojimas kuriant išmanųjį kontraktąInternetinis seminaras

Saugumo priemonių naudojimas kuriant išmanųjį kontraktą

Finansų ateitis Skaitmeninis turtas ir „DeFi“Internetinis seminaras

Finansų ateitis: skaitmeninis turtas ir „DeFi“

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me