Всем привет! Подскажите, пожалуйста, как правильнее с секретами из вольты

работать (фри версия, нет секретов гитлаба)?

1. В одном джобе запрашивать и передавать их в виде переменной дальше, по пайплайну (из плюсов - в других джобах не нужно будет юзать vault cli или curl, jq и т.п.)
2. Запрашивать в каждой джобе заново секреты (но тут нужно, чтобы в каждом образе был curl + jq)

2 пункт лучше

Тебе пора свой канал вопросов открывать

первое

Я настолько тупые вопросы задаю?

Почему, если не секрет? Типа, на секьюрность не влияет, но при этом выглядит оптимальнее?

Если только ты очень быстро экспайришь артифакты. Также в долгих пайпах не удобно. Ну и если у тебя много пайпов, то поймать рабочий с секретами будет легко

ты можешь сколько угодно ставить экспирейшн артифакта, все равно гитлаб решит когда их клинапить. так что повлиять на этот процесс у тебя вряд ли получится. он учтёт твои пожелания конечно, но когда их выполнит.

Поэтому я за второй вариант

есть третий делать все операции в одной джобе

Ну тоже так себе. Местами использую вариант с подложенными файлами из Кеша, чтобы не класть вольт в каждый имадж. Тогда проблем какбы нет