我是一组开发人员中的一员。我们希望该组的任何开发人员能够:
我们做了什么:
pip install git+https://[email protected]
(使用 --additional-python-modules
:提供您自己的 Python 库)问题:
我们需要提供
MY_PERSONAL_GITHUB_TOKEN
因为包是私有的(需要 GitHub 权限才能访问它)。
问题是这个令牌是个人的。如果我使用我的个人 git 令牌,其他开发人员可以通过连接到组织的 AWS 帐户来查看它(他们查看作业的代码,他们看到它使用带有我的个人令牌的 pip 命令下载包)。例如,他们可以删除我个人 GitHub 帐户上的个人项目(组织外的项目)。
我该如何解决这个问题?
理想情况下,我们可以创建一个权限有限的代币。例如,只允许读取特定回购的令牌。但我认为我们不能用 GitHub 做到这一点。