Umgebungen & Firebase-Projekte
Übersicht
Tech Schuppen V80 betreibt eine einzige Firebase-Instanz (Production). Es gibt kein Dev/Staging — Tests laufen mit dedizierten Test-Usern direkt auf Production (Tenant-isoliert).
GitHub Secrets & Variables
Alle Secrets werden im GitHub-Repo unter Settings → Environments → production verwaltet.
Pflicht-Secrets
Secret
Beschreibung
Gesetzt?
DEPLOY_FIREBASE_SERVICE_ACCOUNTFirebase Service Account JSON (Prod) — benötigt Rollen: Firebase Admin , Cloud Datastore Index Admin
☐
CORE_REPO_PATFine-grained PAT mit Contents: Read auf Tech-Schuppen/easySale
☐
Pflicht-Variablen
Variable
Beschreibung
Gesetzt?
FIREBASE_PROJECTFirebase-Projekt-ID für Deploy-Preflight und backend-only Releases
☐
Org-Level Secrets (automatisch verfügbar, kein Einrichten nötig)
Secret
Beschreibung
CLOUDFLARE_ACCOUNT_IDCloudflare Account-ID (für Shop-Web-Hosting via Cloudflare Pages)
CLOUDFLARE_API_TOKENCloudflare API-Token (für Cloudflare Pages Deployments)
Variables (keine Secrets, Klartext)
Variable
Beschreibung
Gesetzt?
CLOUDFLARE_PAGES_PROJECTName des Cloudflare Pages Projekts für die Shop-App
☐
Optionale Secrets – Fehlerverfolgung
Secret
Beschreibung
Gesetzt?
SENTRY_DSNSentry DSN für Crash-Reporting (ERP + Shop)
☐
Optionale Secrets – Android (ERP)
Secret
Beschreibung
Gesetzt?
ANDROID_KEYSTORE_ERP_BASE64Android Keystore (ERP), Base64-kodiert
☐
ANDROID_KEYSTORE_ERP_PASSWORDKeystore-Passwort (ERP)
☐
ANDROID_KEY_ERP_ALIASKey-Alias im Keystore (ERP)
☐
ANDROID_KEY_ERP_PASSWORDKey-Passwort (ERP)
☐
Optionale Secrets – Android (Shop)
Secret
Beschreibung
Gesetzt?
ANDROID_KEYSTORE_SHOP_BASE64Android Keystore (Shop), Base64-kodiert
☐
ANDROID_KEYSTORE_SHOP_PASSWORDKeystore-Passwort (Shop)
☐
ANDROID_KEY_SHOP_ALIASKey-Alias im Keystore (Shop)
☐
ANDROID_KEY_SHOP_PASSWORDKey-Passwort (Shop)
☐
GOOGLE_PLAY_SERVICE_ACCOUNT_JSONGoogle Play Service Account JSON (für AAB-Upload)
☐
GOOGLE_SERVICES_JSON_SHOPgoogle-services.json für Shop (Prod-Firebase-Projekt)☐
FIREBASE_CONFIG_SHOPFirebase-Konfiguration Shop Web (Prod)
☐
Optionale Secrets – iOS (ERP + Shop)
Secret
Beschreibung
Gesetzt?
IOS_DIST_CERTIFICATE_BASE64iOS Distribution Certificate (.p12), Base64-kodiert
☐
IOS_DIST_CERTIFICATE_PASSWORDCertificate-Passwort
☐
IOS_PROVISION_PROFILE_ERP_BASE64Provisioning Profile ERP (.mobileprovision), Base64-kodiert
☐
IOS_PROVISION_PROFILE_SHOP_BASE64Provisioning Profile Shop (.mobileprovision), Base64-kodiert
☐
APP_STORE_CONNECT_API_KEY_IDApp Store Connect API Key ID
☐
APP_STORE_CONNECT_API_ISSUER_IDApp Store Connect Issuer ID
☐
APP_STORE_CONNECT_API_KEY_BASE64App Store Connect Private Key (.p8), Base64-kodiert
☐
Firebase-Konfiguration
Die Firebase-Konfiguration (ERP) liegt unter erp/assets/firebase_config/:
Diese Datei ist im Repo eingecheckt und enthält keine sensitiven Secrets (nur öffentliche API-Keys, die das Firebase-SDK zur Verbindung mit dem richtigen Projekt benötigt).
Die Shop-Firebase-Konfiguration (google-services.json, Web-Config) wird über GitHub Secrets injiziert — sie liegt nicht im Repo.
Firestore-Regeln
Die Sicherheitsregeln werden aus Core + Client-Erweiterungen gemerged:
Deploy: ./deploy_rules.sh (oder über client-release.yml mit platforms=firebase).
Vor jedem Release prüfen die zentralen Workflows automatisch:
CORE_REPO_PAT kann das private Core-Repo wirklich lesenPflicht-Secrets im Environment production sind gesetzt
FIREBASE_PROJECT ist vorhandender Functions-Deploy kann smtp-config aus Secret Manager lesen