Agebox 项目使用教程

Agebox 项目使用教程

1. 项目介绍

Agebox 是一个基于 Age 的文件加密工具，专为 GitOps 设计。它旨在简化文件加密和解密的过程，特别适用于需要在版本控制系统中安全存储敏感数据的场景。Agebox 的核心优势在于其简单性和安全性，它不依赖于 PGP 或代理，而是使用 SSH 和 Age 密钥文件进行加密和解密。

主要特性

• 安全性：Agebox 将安全性委托给 Age，确保加密文件的安全性。
• 文件跟踪：自动跟踪加密文件，确保版本控制中的文件状态一致。
• 灵活性：支持递归路径、多文件和单文件加密，适用于各种文件类型。
• GitOps 友好：专注于 GitOps 流程，支持 CI/CD 集成。
• 单二进制文件：无需复杂的安装过程，直接使用单个可执行文件。

2. 项目快速启动

安装 Agebox

首先，克隆 Agebox 仓库并构建可执行文件：

git clone git@github.com:slok/agebox.git
cd agebox
make build

构建完成后，你可以在 bin 目录下找到 agebox 可执行文件。

初始化 Agebox

在项目根目录下初始化 Agebox：

agebox init

加密文件

加密并跟踪多个文件：

agebox encrypt /app1/secret1.yaml /app2/secret1.yaml

加密目录中的所有文件（干运行模式）：

agebox encrypt /secrets --dry-run

解密文件

解密特定文件或目录：

agebox decrypt /secrets/team-1 /secrets/secret1.yaml

解密所有跟踪的文件：

agebox decrypt --all --force

3. 应用案例和最佳实践

案例1：CI/CD 中的敏感数据管理

在 CI/CD 流程中，通常需要处理敏感数据，如 API 密钥、数据库凭证等。使用 Agebox 可以确保这些敏感数据在版本控制系统中安全存储，并在需要时自动解密。

最佳实践：

• 在 CI/CD 脚本中集成 Agebox，确保敏感数据在构建和部署过程中自动解密。
• 使用 --dry-run 选项在 CI 中验证加密状态，避免意外提交未加密的敏感数据。

案例2：多团队协作中的密钥管理

在多团队协作的项目中，不同团队可能需要访问不同的敏感数据。Agebox 支持使用不同的公钥加密文件，确保只有拥有相应私钥的团队成员才能解密文件。

最佳实践：

• 将公钥集中管理，并在需要时动态获取。
• 定期重新加密文件，确保密钥变更后文件的安全性。

4. 典型生态项目

Age

Age 是 Agebox 的基础加密工具，提供了强大的加密功能。Agebox 在其基础上构建了更高级的文件加密和解密功能，特别适合 GitOps 场景。

Git-crypt

Git-crypt 是另一个流行的 Git 文件加密工具，但与 Agebox 不同，它依赖于 PGP 和代理。Agebox 提供了更简单和更灵活的解决方案，特别适合不需要复杂配置的场景。

SOPS

SOPS 是一个功能强大的加密工具，支持多种文件格式和加密后端。虽然 SOPS 功能丰富，但对于简单的 GitOps 场景，Agebox 提供了更轻量级的解决方案。

通过以上内容，你可以快速了解并开始使用 Agebox 项目，确保在 GitOps 流程中安全管理敏感数据。