给 Helm 提一个 PR,重温开源项目参与过程

于 2023-07-07 09:57:41 发布
阅读量341 收藏 1
点赞数
分类专栏: 开源 文章标签: 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/farmer_hutao/article/details/131590641
版权
本文记录了作者如何参与开源项目Helm,通过GPT-4辅助复现和修复一个关于'helm upgrade'命令可能导致敏感数据泄露的Bug。文章详细介绍了复现Bug的步骤、定位问题的思路、修复代码的编写以及测试验证,最后成功提交了PR。
摘要由CSDN通过智能技术生成

文章目录

逛社区

注:这一篇文章发出来后,又用 GPT-4 重写了一次代码,详情见《给 Helm 修复一个 Bug - 每天5分钟玩转 GPT 编程系列(2)》。为了独立成文,两篇文章都加了一些开头结尾,所以部分重复。本文更加侧翻阅源码重定位 Bug 的过程,隔壁那篇侧重用 GPT-4 写代码的过程。

酒足饭饱,闲来无事,打开 Helm 项目的 issues 列表,咦,这个 issue 看起来眉清目秀呀:

其实一点都不“眉清目秀”,这段 issue 描述太冗长了,没有任何排版,看起来很累。咱就看关键词吧:helm upgrade,sensitive data,error,好的,这就够了,加在一起就是说当 helm upgrade 命令执行失败的时候,可能回导致敏感数据泄露

盘它!

领任务

尽管已经有人留言认领这个任务,不过看描述似乎他并不会马上开始编码,而是希望进一步沟通方案。好办好办,转给我吧:

倒是挺干脆,分分钟就 assign 给我了。

不过,其实,这会我并不知道怎么修复这个 bug,我也不熟悉 Helm 的源码,外加已经小半年没咋写过 Golang 了,其实心里挺慌。试试看吧,究竟是宝刀未老还是老骥伏枥。

复现 Bug

要修复 Bug,第一步自然是先看能不能稳定复现。外加 issue 描述里其实我看不出来如何复现,也不是太看清楚问题现象是什么,总之,复现问题是当务之急。

用 GPT-4 来准备 Bug 复现材料

  • 我的需求

下面就是想想自己需要啥材料,然后抛给 GPT。或许我可以这样说:

我发现 Helm 在执行 upgrade 的时候,如果出错,会导致 Secret 里的数据被明文打印出来,存在敏感数据泄露风险。现在我想复现这个问题,我设想的步骤是这样的:
1. 构造一个包含 Secret 的正常的 Helm Chart,Secret 里的数据是从 values.yaml 里读取的,values.yaml 中直接使用 base64 编码字符串,而不是在 secret.yaml 中使用 b64enc;
2. 然后执行 helm install,此刻应该没有问题异常;
3. 修改 values.yaml 中的 base64 字符串,让其非法(比如删除一个结尾的“=”);
4. 执行 helm upgrade 命令,看结果是不是存在敏感数据泄露。
请告诉我相关命令和操作等。
  • 将需求告诉 DevChat

  • DevChat 给出的完整回答

首先,我会概括你的需求:

  • 你想要复现一个问题,该问题是在使用 Helm 进行 upgrade 操作时,如果出错,会导致 Secret 中的数据被明文打印出来,存在敏感数据泄露风险。
  • 你已经设想了一些步骤,包括创建一个包含 Secret 的 Helm Chart,然后进行一些操作来触发这个问题。
    下面是我为你准备的相关命令和操作:
  1. 创建一个包含 Secret 的 Helm Chart。首先,你需要创建一个新的 Helm Chart,可以使用以下命令:
helm create mychart

然后,你需要在 mychart/templates 目录下创建一个新的文件 secret.yaml,并添加以下内容:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  mykey: {
    {
     .Values.mysecret.mykey }}

在 mychart/values.yaml 文件中,添加以下内容:

mysecret:
  mykey: "SGVsbG8gd29ybGQ="  # "Hello world" 的 base64 编码
  1. 执行 helm install 命令。在你的 Helm Chart 目录(即 mychart)下,执行以下命令:
helm install myrelease .

此时,应该没有任何问题或异常。

  1. 修改 values.yaml 文件中的 base64 字符串,让其非法。你可以将 values.yaml 文件中的 mykey 值修改为一个非法的 base64 字符串,例如删除一个结尾的“=”:
mysecret:
  mykey: "SGVsbG8gd29ybGQ"  # 非法的 base64 字符串
  1. 执行 helm upgrade 命令。在你的 Helm Chart 目录下,执行以下命令:
helm upgrade myrelease .

此时,你应该能看到错误信息,包括你的 Secret 数据。

以上就是复现你所说问题的步骤。如果你在执行这些步骤时遇到任何问题,或者需要更多的帮助,欢迎随时向我提问。

对着 GPT-4 给的命令复现 Bug

DevChat 诚不我欺啊,一顿复制粘贴敲键盘,最后我看到了这个:

注意这个错误日志里的这部分:

Error: UPGRADE FAILED: cannot patch "mysecret" with kind Secret:  "" is invalid: patch: Invalid value: "{\"apiVersion\":\"v1\",\"data\":{\"mykey\":\"SGVsbG8gd29ybGQ\"}……

这里的 mykey: SGVsbG8gd29ybGQ 看起来似乎不太敏感,不过它其实意味着假如你存了10个密码在 Secret 里,当更新的时候写错了一个,其他正确的9个会被无差别打印出来。这个日志里包含的是一个未脱敏的完整的 Secret 资源实例内容。

定位 Bug

从日志里来看,JSON 部分大概率是 K8s 相关的库返回的内容,Helm 里直接拼接到自己日志里打印出来了。我们需要找到最接近这个“K8s 相关调用”的地方,然后找到这串日志怎么来的,再加一层“脱敏”。

  1. 搜索关键字“UPGRADE FAILED”

太幸运了,只有一个结果(明显是 upgrade.go 这里),那就长刀直入吧:

rel, err := client.RunWithContext(ctx, args[0], ch, vals)
if err != nil {
   
	return errors
最低0.47元/天 解锁文章
胡说云原生
关注
专栏目录
十一、helm3的加密函数
margu_168的博客
05-15 232
(1). sha1sum函数、sha256sum函数、adler32sum函数 和 htpasswd函数。decryptAES 函数:是解密函数,接收一个AES-256 CBC编码的字符串并返回解密文本。adler32sum 函数:用于计算字符串的Adler-32校验和进行加密。b64enc编码函数和b64dec解码函数:编码或解码 Base64。b32enc编码函数和b32dec解码函数:编码或解码 Base32。b64enc编码函数和b64dec解码函数:编码或解码 Base64。
k8s包管理器helm_kubernetes包管理神器-Helm
weixin_29202687的博客
12-31 792
在我们学习 kubernetes 的过程中,用的最多的是 kubectl 命令行工具,使用 kubectl 工具需要我们编写好各种部署文件,这在生产中是非常不方便的,因此 Helm 这个 kubernetes 包管理工具就应运而生了。 Helm 包管理工具不仅可以为我们安装网上已经成熟的部署库文件,而且可以生产本地部署模板,我们只需要简单改一改,就可以完成一个应用的部署,不需要我们记住那么多的命...
base64模块的b64encode函数
greatwind的博客
03-17 1万+
b64encode b64encode函数主要是使用Base64对bytes-like对象进行编码并返回bytes对象。
每天5分钟玩转Kubernetes | chart详解
COCO_gsta的博客
06-23 2461
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!附上汇总贴:每天5分钟玩转Kubernetes | 汇总_COCOgsta的博客-CSDN博客chart是Helm的应用打包格式。chart由一系列文件组成,这些文件描述了Kubernetes部署应用时所需要的资源,比如Service、Deployment、PersistentVolumeClaim、Secret、ConfigMap等。单个的chart可以非常简单,只用
用helm创建特殊的configmap(存放图片,mongo导出数据,json,bson)
afriendlyman的博客
09-25 486
helm创建存放图片、json、bson文件格式的configmap
Parallels Helm phpmyadmin app pack-开源
07-16
Parallels Helm一个强大的自动化工具,用于管理 Kubernetes 集群上的应用程序部署和服务。Kubernetes(简称 K8s)是Google 开源一个容器编排系统,用于自动化容器化应用的部署、扩展和管理。Helm 作为 ...
helm-diff:一个helm插件,显示一个diff来说明helm升级将发生的变化
02-03
这是一个Helm插件,可让您预览helm upgrade将发生的变化。 它基本上会在发行的最新部署版本和helm upgrade --debug --dry-run之间产生差异。 这也可以用来比较头盔版本的两个修订版。 安装 使用Helm插件管理器(> ...
ChartMuseum 是一个用 Go (Golang) 编写的开源 Helm Chart 存储库,支持云存储后端
最新发布
06-02
ChartMuseum 是一个用 Go (Golang) 编写的开源 Helm Chart 存储库,支持云存储后端,包括 Google Cloud Storage、Amazon S3 和 Microsoft Azure Blob Storage。
opendc:Open Datacentre供了一组由Kubernetes,Helm和Ansible管理的精选开源产品
05-14
标题“opendc: Open Datacentre供了一组由Kubernetes,Helm和Ansible管理的精选开源产品”揭示了这是一个开放源代码的数据中心解决方案,它利用现代云原生技术来构建和管理数据中心的基础架构。这个项目的核心是...
Helm 命名模板
爱死亡机器人
09-15 948
文章目录1. 声明和使用命名模板2. 模板范围3. include 函数 前面我们学习了一些 Helm 模板中的一些常用使用方法,但是我们都是操作的一个模板文件,在实际的应用中,很多都是相对比较复杂的,往往会超过一个模板,如果有多个应用模板,我们应该如何进行处理呢?这就需要用到新的概念:命名模板。 命名模板我们也可以称为子模板,是限定在一个文件内部的模板,然后给一个名称。在使用命名模板的时候有一个需要特别注意的是:模板名称是全局的,如果我们声明了两个相同名称的模板,最后加载的一个模板会覆盖掉另外的模板,由
helm导入文件
DAICONG’s Blog
08-24 1813
在mychart文件夹下创建三个文件 echo "message = Hello from config 1" > config1.toml echo "message = This is config 2" > config2.toml echo "message = Goodbye from config 3" > config3.toml 在template文件夹下创建configmap apiVersion: v1 kind: ConfigMap metadata: .
k8s包管理器helm_K8S包管理神器Helm
weixin_32310195的博客
12-27 802
在我们学习 kubernetes 的过程中,用的最多的是 kubectl 命令行工具,使用 kubectl 工具需要我们编写好各种部署文件,这在生产中是非常不方便的,因此 Helm 这个 kubernetes 包管理工具就应运而生了。 Helm 包管理工具不仅可以为我们安装网上已经成熟的部署库文件,而且可以生产本地部署模板,我们只需要简单改一改,就可以完成一个应用的部署,不需要我们记住...
Helm(6)-Chart开发示和技巧
会哭的雨@的博客
11-10 1531
本指南涵盖了Helm chart的开发人员在构建生产环境质量的chart时学到的一些示和技巧。 了解你的模板功能 Helm使用了Go模板将你的自由文件构建成模板。 Go塑造了一些内置方法,我们增加了一些其他的。 首先,我们添加了Sprig库中所有的方法,出于安全原因,“env”和“expandenv”除外。 我们也添加了两个特殊的模板方法:include和required。include方法允许你引入另一个模板,并将结果传递给其他模板方法。 比如,这个模板片段包含了一个叫mytpl的模板,然..
Base64编码与解码 分类: 中文信息处理 201...
weixin_33881050的博客
11-03 139
Base64是一种将二进制转为可打印字符的编码方法,主要用于邮件传输。Base64将64个字符(A-Z,a-z,0-9,+,/)作为基本字符集,把所有符号转换为这个字符集中的字符。 编码: 编码每次将3字节转为4字节,若输入字节数不是3的倍数,则在末尾填充0字节使其长度为3的倍数。对于3字节,每次取出6位,并在前面添加2位0构成一个字节,以此字节为下标查找Base64码表(如下图)输出...
python中base64编码与解码
weixin_30293079的博客
07-26 1181
引言:   在一些项目中,接口的报文是通过base64加密传输的,所以在进行接口自动化时,需要对所传的参数进行base64编码,对拿到的响应报文进行解码; Base64编码是一种“防君子不防小人”的编码方式。广泛应用于MIME协议,作为电子邮件的传输编码,生成的编码可逆,后一两位可能有“=”,生成的编码都是ascii字符。优点:速度快,ascii字符,肉眼不可理解缺点:编码比较长,非常容...
Kubernetes学习之路(二十五)之Helm程序包管理器
weixin_30877755的博客
03-27 416
目录 1、Helm的概念和架构 2、部署Helm (1)下载helm (2)部署Tiller 3、helm的使用 4、chart 目录结构 5、chart模板 6、定制安装MySQL chart (1...
python中base64编码和解码简单例子
工控世界
06-19 3万+
# 导入 base64模块 import base64 # 给定需要转换的字符串 str1 = "你好" # 需要转成2进制格式才可以转换,所以我们这里再手动转换一下 result = base64.b64encode(str1.encode()) # 打印转换后的结果 print('转换后的结果 -->  'result) # 再把加密后的结果解码 temp = base64.b6...
Python中进行Base64编码和解码
热门推荐
lxdcyh的专栏
03-24 26万+
Base64编码是一种“防君子不防小人”的编码方式。广泛应用于MIME协议,作为电子邮件的传输编码,生成的编码可逆,后一两位可能有“=”,生成的编码都是ascii字符。优点:速度快,ascii字符,肉眼不可理解缺点:编码比较长,非常容易被破解,仅适用于加密非关键信息的场合Python中进行Base64编码和解码>>> import base64>>> s = 我是字符串>>> a = base
Base64 Encoding详解
yuchenfw的博客
05-15 6589
本文主要以Go base64 package为例,详细介绍了Base64中4种Encoding的异同点及使用环境,同时对base64编/解码的详细实现过程进行了较深入的探讨。
给我创建一个NGINX的helm
03-23
2. 接下来,您需要创建一个新的Helm chart。您可以使用以下命令创建一个名为“nginx”的chart: helm create nginx 3. 然后,您需要编辑Chart.yaml文件,以便为您的chart添加名称、版本和描述等信息。例如: name...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值