绑定代码源后,是否会存在安全隐患 ?

DaoCloud 通过在 GitHub 等第三方代码托管平台进行 OAuth 认证,将一个 WebHook 加入到你需要通过 DaoCloud 进行构建的代码库中。当您每次对该代码库进行修改操作时(如 Push、Pull Request 等),GitHub 等平台便会向 DaoCloud 发出通知。DaoCloud 收到来自代码托管平台的通知后,便会根据您在代码库中定义的 DaoCloud 持续集成配置文件进行拉取、构建和测试等工作。

OAuth 认证机制

DaoCloud 与 GitHub 等平台之间采用 OAuth 的方法进行认证,这使得 DaoCloud 只会得到通过 GitHub 等平台返回的 Access Token,这是 DaoCloud 与 GitHub 等平台进行通讯的凭证,而它是具有时效性的。一旦 Access Token 过期,DaoCloud 就无法读取您账号中的信息,直到获得重新授权。

这同时也意味著 DaoCloud 并不会存储您的 GitHub 等平台的账号和密码。

Deploy Key

当您在 DaoCloud 上选择了一个托管在 GitHub 等平台的代码库作为 Docker 镜像的代码源时,DaoCloud 会向该代码库中添加一个用于持续集成的 Deploy Key,这使得 DaoCloud 可以对该代码库中的源代码进行读取。

您除了可以在 DaoCloud 内部对该代码库解除绑定外,还可以通过在代码库的配置页面中,将 DaoCloud 的 Deploy Key 删除,这样可以强行终止 DaoCloud 对该代码库的访问。

也就是说,即便您授权了 DaoCloud 访问您的代码库,您还是有绝对权利控制 DaoCloud 对代码库的访问权限的。

拉取代码

在构建 Docker 镜像时,DaoCloud 会从第三方代码托管平台拉取您的代码库代码。当 DaoCloud 完成了对代码的构建后,会物理删除您的代码,以保证代码的安全性。DaoCloud 承诺不保留任何用户代码。