現在、Azure Devops サービス接続のセキュリティを監査しています: サービス接続に格納されている資格情報はどの程度安全ですか?
場合の例は、TwineAuthenticate タスクです。サービス接続から資格情報を取得し、pythonUploadServiceConnectionそれらを PyPI リソース ファイルに書き込みます。
それともそうですか?
このファイルの検査 ( edit )
- script: |
cat $(PYPIRC_PATH)
は、ユーザーとパスワードの値が***であることを示しています。これは、サービス接続によって提供される資格情報ではありません。
twineでは、PyPI リソース ファイルを読み取るときにどのような魔法が行われているのでしょうか? これは安全ですか、それとも難読化されているだけですか?