Buenas practicas de seguridad

Clase 14 de 15 • Curso de Travis CI

Contenido del curso

Getting Started

Configuración

Deploy Github Pages

Integración y Notificaciones

Deploy Heroku

Seguridad

Travis CI Enterprise

15
Travis CI Enterprise y cierre del curso
02:28 min

Tomar examen

Resumen

Proteger la información sensible dentro de un repositorio es una práctica fundamental cuando trabajamos con integración continua. Claves de API, tokens de acceso y credenciales de servicios externos como Slack o Heroku pueden quedar expuestos si no tomamos las precauciones adecuadas. Con la herramienta Travis CLI y su comando encrypt, es posible cifrar esos valores directamente desde la terminal y mantener seguro el archivo de configuración .travis.yml.

¿Qué elementos sensibles debemos encriptar en Travis CI?

Dentro del archivo .travis.yml existen secciones que contienen información comprometedora. Dos casos muy comunes son:

Token de notificaciones de Slack: permite enviar mensajes al canal de un grupo de trabajo. Si alguien obtiene este valor, podría integrarlo en otros proyectos o enviar mensajes no deseados.
API key de Heroku: otorga acceso al proyecto desplegado e incluso a todos los proyectos asociados a esa cuenta.

Ambos valores deben cifrarse antes de subir cualquier cambio al repositorio. La idea es que solo Travis CI pueda desencriptarlos durante la ejecución del flujo, sin que ningún tercero tenga acceso al valor original.

¿Cómo usar el comando Travis encrypt paso a paso?

El proceso parte de tener instalado Travis CLI, la interfaz de línea de comandos de Travis. Una vez configurada, los pasos son directos.

¿Cómo encriptar el token de Slack?

Copia el string que deseas proteger desde tu archivo .travis.yml.
En la terminal, ejecuta el comando travis encrypt seguido del valor que quieres cifrar [01:30].
Travis detecta automáticamente el repositorio que tiene integración activa con Travis CI. Si la encuentra, te pide confirmación; si no existe, te avisa que no hay integración configurada [01:52].
El comando devuelve un string seguro (secure) ya encriptado.
Regresa al archivo .travis.yml, elimina el valor original y pega el nuevo valor cifrado.
Asegúrate de respetar la indentación correcta: el valor secure debe ir un nivel más adentro, indicando que Slack utilizará ese valor encriptado [02:30].

¿Cómo encriptar la API key de Heroku?

El proceso es idéntico. Ejecuta nuevamente travis encrypt con el valor de la API key [03:05]. En esta segunda ejecución, Travis ya reconoce el repositorio y no vuelve a preguntar por la integración, entregando directamente el resultado cifrado. Pega el valor en la sección correspondiente del archivo y verifica que la indentación sea la adecuada [03:25].

¿Cómo verificar que la encriptación funciona correctamente?

Una vez que los valores están cifrados en el archivo, el siguiente paso es subir los cambios al repositorio con los comandos habituales de Git:

git status para confirmar que el archivo .travis.yml fue modificado.
git add para agregar los cambios al staging.
git commit -m "Travis encrypt" para registrar el cambio.
git push origin master para enviar todo al repositorio remoto [04:05].

Al revisar el repositorio, el archivo .travis.yml muestra únicamente el valor encriptado, no el original. Esto dispara un nuevo flujo en Travis CI que ejecuta todo el pipeline configurado [04:30].

La prueba definitiva es observar si llega la notificación al canal de Slack. Si el mensaje aparece, significa que Travis desencriptó correctamente el token durante la ejecución y la integración funciona sin exponer datos sensibles [05:10].

El concepto detrás de Travis encrypt se basa en criptografía asimétrica: Travis genera un par de claves por repositorio, cifra el valor con la clave pública y solo el entorno de Travis puede descifrarlo con la clave privada. Esto garantiza que aunque alguien lea el archivo de configuración, no podrá obtener el valor real.

Recuerda que cada repositorio tiene su propia clave, por lo que un valor encriptado para un proyecto no funcionará en otro. Si manejas múltiples proyectos, deberás repetir el proceso en cada uno. ¿Has tenido que proteger otros tipos de credenciales en tus flujos de CI/CD? Comparte tu experiencia en los comentarios.

Comentarios

Jose Daniel Barría Reyes

student•

Buenas practicas de seguridad: En este curso utilizamos información sensible que deberíamos ocultar. Para eso travis-cli nos ofrece el siguiente comando:

travis encrypt tu_clave

para encriptar tu información sensible y que solo travis pueda entender. Luego de ejecutar este comando, travis genera lo siguiente

secure:&quot;...&quot;

luego eso lo integrarias de la siguiente manera

# ejemplo con api key
api_key:
	secure:&quot;...&quot;

y de esa manera aseguramos nuestras claves y/o información sensible.

Martín David Roldán

student•

No podia encriptar las keys ya que Travis me pedia loguearme. Despues de un buen rato tratando de hacerlo pude solucionarlo de la siguiente manera :D

Loguearse en Travis

Deben crear un nuevo github token para iniciar sesión. Para ello ingresen a su cuenta en GitHub/settings/Developer settings/Personal access tokens/.
Una vez allí, generen un nuevo token y copienlo.
En su consola, usen el siguiente comando:

travis login --pro --github-token <--COPIA-TU-TOKEN-AQUÍ-->

Luego de estos pasos, deberia aparecerles que se loguearon correctamente. .

Encriptar keys

Para encriptar algo, deben agregarle el siguiente flag al comando visto en clase.

travis encrypt --com <--COPIA-TU-KEY-AQUÍ-->

El flag --com se agrega para indicarle a Travis que su repositorio y donde realizan el CI/CD se encuentra en el nuevo dominio de la plataforma (https://www.travis-ci.com) y no en el anterior (https://www.travis-ci.org). Por defecto, tratara de buscar los repositorios en el sitio antiguo por lo que no los encontrará y lanzará un error.

Cualquier duda o inconveniente avisenme y tratare de ayudarlos!

Luis Guilermo Figueroa Hernandez

student•

Gracias compañero, funcionó excelente 🤗🤗

fabio gomez guzman

student•

Gracias compañero, me devolviste la fe.

Jhon Alexander Alvarez Romero

student•

no me gusta la idea de instalar un cli solamente para encryptar, me gustan o parecen mejor las varibales de entorno, o quizas una herramienta online dentro de cada cuenta

Gonzalo Amador Hernández

student•

usa la imagen de Docker, esta super y no instalas nada

Solo Docker, pero amaras Docker sino es que ya lo usas

Camilo José Mezú Mina

student•

Me parece mejor utilizar las variables de entrono de Travis, simplemente el la sección de api_key agregamos un valor con $nombre_de_la_varible

El código quedaría así

deploy:
  provider: heroku
  api_key: $APIKEYHEROKU
  app: nombre_de_la_app

y ponemos el nombre en la sección de variables de entorno en Travis

Javier Fernando Chi Ortiz

student•

Lo intente con lo del chat de Slack pero me parece que no lo toma

Kennedy ${{7*7}} Sanchez ${7*7}

student•

y los correos pa' cuando(GDPR)??

Gonzalo Amador Hernández

student•

Estoy seguro que no se puede encriptar, me parece que agregandola como variable de entorno el travis, solo que debes escapar los caracteres especiales como @

José Ángel Navarro Almendárez

student•

Si se intenta hacer esto en produccion hay que tener cuidado que git guarda todo el historial de commits, por lo que lo mejor es eliminar (reset) los commits para que las claves no se puedan recuperar

Johny Jiménez

student•

Perfecto, esto era lo que me faltaba, el cifrar el key del heroku, me salio perfecto además, es de los pocos profesores que tiene en cuenta la seguridad 🔐. Bien por esa Oscar!! 👍🏻

Joel Andy Rojas Valencia

student•

Si el comando: travis encrypt localmeetups... les da el siguiente error: repository not known to https://api.travis-ci.org/:

Intentar con el siguiente comentario:

travis encrypt localmeetups --com

Gerardo Alberto Soto Alvarez del Castillo

student•

Gracias por la información!

Diego Andrés Beltrán Garavito

student•

Me gusto el curso.

Andres Barriga

student•

En caso de que al encriptar la clave les aparezca :

resource not found ({} )

Intenten lo siguiente.

travis login --pro --github-token {GITHUB_TOKEN} En {GITHUB_TOKEN}

remplazan ese texto por el token de github que crearon previamente

travis encrypt {clave_a_encriptar} -r {usuario_github}/{nombre_repositorio_github} --com

Naldo Duran

student•

👏

Erickson Quintana

student•

me econtre con un problema, no me dejaba ejecutar el git al poner laclave de la api encriptada, leyendo me encontre con la solucion y fue hacer un: git push origin master --force

con esto hace un forzado, y luego ya soluciona el error

Buenas practicas de seguridad

Getting Started

Todo lo que aprenderás sobre TravisCI

Continuous Integration (CI) y Continuous Delivery (CD)

Crear cuenta en Travis-ci.org

Configuración

Archivo de configuración travis.yml

Archivo de configuración travis.yml jobs y deploy

Deploy Github Pages

Configuración de travis.yml

Test & Deploy de Platzi Store

Integración y Notificaciones

Integración con notificaciones de correo electrónico

Integración con notificaciones de Slack

Deploy Heroku

Configuración de Integración

Configuración de travis.yml con Heroku

Deploy de Platzi Store Backend

Seguridad

Instalar Travis CLI (Command Line Client)

Buenas practicas de seguridad

Travis CI Enterprise

Travis CI Enterprise y cierre del curso