ایمن سازی اسرار تست با pytest-mask-secrets

ایمن و خصوصی نگه داشتن داده های حساس اولویت اصلی در توسعه نرم افزار است. سیاهههای مربوط به برنامه، یکی از بردارهای رایج نشت، به دقت محافظت می شوند تا از حضور اسرار جلوگیری شود. نگرانی و خطر مشابهی در مورد لاگ های آزمایشی نیز اعمال می شود که می توانند رمزهای عبور یا نشانه های دسترسی را آشکار کنند. ابزارهایی که جریان های کاری CI را اجرا می کنند معمولاً مکانیسم هایی را برای پنهان کردن داده های حساس در گزارش ها بدون هیچ تلاشی ارائه می دهند. در حالی که این بسیار راحت، کارآمد و آسان برای استفاده است، در شرایط خاص، ممکن است کافی نباشد.

چرا پوشش گردش کار CI به تنهایی ممکن است کافی نباشد

به عنوان مثال، GitHub Actions کار خوبی برای مدیریت اسرار انجام می دهد. هر راز تعریف شده در جریان کار به طور خودکار از خروجی گرفته شده پنهان می شود، که مانند یک افسون عمل می کند. با این حال، مانند هر سیستم CI، محدودیت های خود را دارد. اگر گزارش خروجی مسیر دیگری را طی کند – مانند ذخیره در یک فایل، junit تولید یا به یک فروشگاه گزارش راه دور ارسال شود – GitHub Actions توانایی بررسی محتوا و پنهان کردن اسرار را ندارد.

علاوه بر این، تست همیشه در یک گردش کار CI اجرا نمی‌شود، و حتی در این صورت، ممکن است هنوز اسرار پنهان شوند. تصور کنید که در حال اجرای آزمایش‌ها به صورت محلی هستید و یک گزارش را برای بحث در مورد یک مشکل به اشتراک می‌گذارید. بدون اینکه متوجه شوید، یک URL را با نشانه دسترسی خود وارد می کنید.

بنابراین، داشتن مکانیزمی برای مدیریت داده های حساس در لاگ های آزمایشی در همه سطوح ضروری است. بهترین رویکرد این است که این امر را مستقیماً در سطح آزمون یا در خود چارچوب آزمون پیاده سازی کنید. این تضمین می کند که اسرار از منبع اصلی درز نمی کنند و از انتقال آنها به سیستم جلوگیری می کند.

افزودن حفاظت در سطح مناسب

حفظ پنهان کردن اسرار مستقیماً در آزمایش‌ها می‌تواند نسبتاً پرهزینه و مستعد خطا باشد و اغلب شبیه یک نبرد شکست خورده است. به عنوان مثال، تصور کنید باید یک URL با یک توکن به عنوان پارامتر طراحی کنید. این URL برای استفاده در یک درخواست در مقایسه با حضور آن در گزارش باید متفاوت ارائه شود.

در مقابل، رهگیری تولید گزارش در چارچوب آزمون، فرصتی ایده‌آل برای اتصال به فرآیند و اصلاح سوابق برای حذف داده‌های حساس فراهم می‌کند. این رویکرد برای آزمایش‌ها شفاف است، نیازی به هیچ تغییری در کد آزمایشی ندارد و دقیقاً مانند ویژگی پنهان‌سازی راز در گردش‌های کاری CI عمل می‌کند – به سادگی آن را اجرا کنید و مدیریت اسرار را فراموش کنید. این فرآیند را خودکار می کند و تضمین می کند که داده های حساس بدون افزودن پیچیدگی اضافی به تنظیمات تست محافظت می شوند.

این دقیقاً همان کاری است که pytest-mask-secrets انجام می دهد، بدیهی است زمانی که pytest برای اجرای آزمایش استفاده می شود. در میان بسیاری از ویژگی های آن، pytest یک سیستم افزونه غنی و انعطاف پذیر را ارائه می دهد. برای این منظور، به شما این امکان را می دهد که درست قبل از ایجاد هر گونه گزارش، در نقطه ای که تمام داده ها قبلاً جمع آوری شده اند، به فرآیند متصل شوید. این کار جستجو و حذف مقادیر حساس از رکوردها را قبل از خروجی آسان می کند.

آزمایش کردن: یک نسخه آزمایشی عملی

برای نشان دادن این که چگونه این کار می کند، یک مثال ساده موثرترین خواهد بود. در زیر یک تست پیش پا افتاده است که ممکن است سناریوی آزمایشی در دنیای واقعی را نشان ندهد، اما در خدمت هدف نشان دادن است. pytest-mask-secrets کاملا خوب

import logging
import os


def test_password_length():
    password = os.environ["PASSWORD"]
    logging.info("Tested password: %s", password)
    assert len(password) > 18

در این مثال، یک ادعا وجود دارد که دارای پتانسیل شکست است (و خواهد شد)، همراه با یک پیام گزارش که شامل یک راز است. بله، ممکن است احمقانه به نظر برسد که یک راز را در گزارش وارد کنید، اما سناریویی را در نظر بگیرید که در آن یک URL با یک نشانه به عنوان پارامتر دارید، و ثبت اشکال زدایی دقیق فعال است. در چنین مواردی، کتابخانه ها مانند requests ممکن است ناخواسته راز را از این طریق ثبت کند.

حالا برای تست ابتدا، راز مورد نیاز برای اهداف آزمایشی را تنظیم کنید:

(venv) $ export PASSWORD="TOP-SECRET"

بعد، تست را اجرا کنید:

(venv) $ pytest --log-level=info test.py 
============================= test session starts ==============================
platform linux -- Python 3.12.4, pytest-8.3.2, pluggy-1.5.0
rootdir: /tmp/tmp.AvZtz7nHZS
collected 1 item                                                               

test.py F                                                                [100%]

=================================== FAILURES ===================================
_____________________________ test_password_length _____________________________

    def test_password_length():
        password = os.environ["PASSWORD"]
        logging.info("Tested password: %s", password)
>       assert len(password) > 18
E       AssertionError: assert 10 > 18
E        +  where 10 = len('TOP-SECRET')

test.py:8: AssertionError
------------------------------ Captured log call -------------------------------
INFO     root:test.py:7 Tested password: TOP-SECRET
=========================== short test summary info ============================
FAILED test.py::test_password_length - AssertionError: assert 10 > 18
============================== 1 failed in 0.03s ===============================

به‌طور پیش‌فرض، مقدار مخفی دو بار در خروجی ظاهر می‌شود: یک بار در پیام گزارش ثبت شده و دوباره در ادعای ناموفق.

اما اگر pytest-mask-secrets نصب شده است؟

(venv) $ pip install pytest-mask-secrets

و بر این اساس پیکربندی شده است. باید لیستی از متغیرهای محیطی که اسرار را در خود نگه می دارند را بداند. این کار با تنظیم انجام می شود MASK_SECRETS متغیر:

(venv) $ export MASK_SECRETS=PASSWORD

حالا تست را دوباره اجرا کنید:

(venv) $ pytest --log-level=info test.py 
============================= test session starts ==============================
platform linux -- Python 3.12.4, pytest-8.3.2, pluggy-1.5.0
rootdir: /tmp/tmp.AvZtz7nHZS
plugins: mask-secrets-1.2.0
collected 1 item                                                               

test.py F                                                                [100%]

=================================== FAILURES ===================================
_____________________________ test_password_length _____________________________

    def test_password_length():
        password = os.environ["PASSWORD"]
        logging.info("Tested password: %s", password)
>       assert len(password) > 18
E       AssertionError: assert 10 > 18
E        +  where 10 = len('*****')

test.py:8: AssertionError
------------------------------ Captured log call -------------------------------
INFO     root:test.py:7 Tested password: *****
=========================== short test summary info ============================
FAILED test.py::test_password_length - AssertionError: assert 10 > 18
============================== 1 failed in 0.02s ===============================

اکنون به جای مقدار مخفی، ستاره‌ها در هر جایی که راز چاپ می‌شد ظاهر می‌شود. کار انجام شده است و گزارش آزمایش اکنون فاقد داده های حساس است.

بستن افکار

از مثال، ممکن است به نظر برسد که pytest-mask-secrets خیلی بیشتر از آنچه GitHub Actions قبلاً به صورت پیش‌فرض انجام می‌دهد، انجام نمی‌دهد و باعث می‌شود تلاش‌ها اضافی به نظر برسد. با این حال، همانطور که قبلا ذکر شد، ابزارهای اجرای CI worklfow فقط اسرار خروجی گرفته شده را پنهان می‌کنند و فایل‌های JUnit و سایر گزارش‌ها را بدون تغییر می‌گذارند. بدون pytest-mask-secrets، داده های حساس همچنان می توانند در این فایل ها در معرض دید قرار گیرند—این برای هر گزارش تولید شده توسط pytest صدق می کند. از سوی دیگر، pytest-mask-secrets خروجی مستقیم را وقتی که log_cli گزینه استفاده می شود، بنابراین ویژگی های پوشاندن جریان های کاری CI هنوز مفید هستند. برای اطمینان از حفاظت از داده های حساس، اغلب بهتر است از هر دو ابزار به همراه یکدیگر استفاده کنید.

این است. از اینکه برای خواندن این پست وقت گذاشتید متشکرم. من امیدوارم که بینش های ارزشمندی را برای استفاده ارائه کرده باشد pytest-mask-secrets برای افزایش امنیت فرآیند تست شما.

تست مبارک!