正文：

在持续集成和持续部署（CI/CD）流程中，GitHub Actions已成为开发者的首选工具之一。然而，当需要在工作流中传递多行PEM密钥（如SSH私钥或TLS证书）时，开发者常常会遇到YAML解析错误或格式问题。这不仅影响流程的可靠性，还可能引发安全隐患。本文将详细介绍如何安全、高效地解决这一问题。

问题背景

PEM格式的密钥通常包含多行文本，例如：

-----BEGIN RSA PRIVATE KEY-----
MIIEpAIBAAKCAQEAzX5...（省略部分内容）
-----END RSA PRIVATE KEY-----

直接将其粘贴到GitHub Actions的YAML文件中时，YAML解析器可能会因换行符或缩进问题报错，甚至导致密钥格式损坏。

常见错误与陷阱

1. YAML多行字符串解析问题
   YAML对多行字符串的处理有严格规则。若未正确使用块标量（如|或>），密钥内容可能被截断或转义。
2. 缩进导致的格式错误
   GitHub Actions的YAML文件对缩进敏感，多余的缩进可能被误认为是嵌套结构。
3. 敏感信息暴露风险
   直接将密钥硬编码在YAML中可能通过日志或公开仓库泄露。

解决方案

方法1：使用|保留多行格式

通过YAML的块标量符号|，可以保留换行符和原始格式：

env:
  PRIVATE_KEY: |
    -----BEGIN RSA PRIVATE KEY-----
    MIIEpAIBAAKCAQEAzX5...
    -----END RSA PRIVATE KEY-----

方法2：Base64编码密钥

将PEM密钥转换为Base64字符串，避免多行问题：

# 本地转换
cat private_key.pem | base64 -w 0

# GitHub Actions中解码
env:
  PRIVATE_KEY_B64: "LS0tLS1CRUdJTiBSU0EgUF...（Base64字符串）"
steps:
  - run: echo "${{ env.PRIVATE_KEY_B64 }}" | base64 --decode > private_key.pem

方法3：使用GitHub Secrets存储密钥

1. 将PEM密钥保存为仓库的Secret（Settings → Secrets → Actions）。
2. 在工作流中通过${{ secrets.PRIVATE_KEY }}引用，无需硬编码：

steps:
  - run: echo "${{ secrets.PRIVATE_KEY }}" > private_key.pem

安全最佳实践

1. 最小权限原则：确保密钥仅访问必要的资源。
2. 临时文件处理：使用后立即删除密钥文件：

steps:
     - run: |
         echo "${{ secrets.PRIVATE_KEY }}" > private_key.pem
         # 使用密钥...
         rm -f private_key.pem

1. 日志屏蔽：通过::add-mask::隐藏敏感输出：

echo "::add-mask::${{ secrets.PRIVATE_KEY }}"

结语

正确处理多行PEM密钥是确保CI/CD流程安全稳定的关键。通过YAML格式优化、Base64编码或Secrets管理，开发者可以规避常见陷阱。始终牢记安全第一，避免敏感信息暴露。