0
VCSでのPaypalトランザクションの暗号化/署名に使用される鍵(app_cert.pem、app_key.pem、paypal.pem)のセキュリティ上の意味は何ですか?証明書とデータベースのプライマリキーを持っている誰かが、購入したものを有料にすることができると思っています。それは起こる可能性が最も悪いですよね?ペイパル鍵のバージョン管理
A
答えて
1
最も危険なのは、誰がソースコントロールにアクセスできるかです。ソースコントロールにアクセスできる開発者がすでに鍵へのアクセスを許可されている場合、ソースコントロールがロックされ、許可されたユーザーだけがにアクセスできる限り、追加のリスクはありません。
リポジトリへの匿名の読み取りアクセスを許可すると、他の誰かがあなたのキーを取得できます。これは、専用の攻撃者に役立つ可能性があります。おそらく、彼らは私たちが考えていない何かをする方法を知っているでしょう。
スキルと辛抱強さの欠如と簡単な給料日のモチベーションを持つ人の創造性を過小評価してはいけません。
個人的には、ソースコントロールには入れません。私は彼らが私自身のSSNと銀行情報のように彼らを守るだろう。
あなたのレポがきつく締まっていても、将来変更されることはわかりません。将来のデベロッパーにとっては、外部のベンダーとの共同作業を開始したり、読み取り専用アクセスを許可したり、そのような機密情報を公開しているとは考えにくいです。
+0
リポジトリにはプライベートアクセス権があります(それもそうです)。しかし、私はあなたが正しい方法でそれについて考えていると思います。それが公開されていて、悪意のある人がそれにアクセスするとどうなりますか?私は最悪の場合を推定しようとしています。 VCSに格納する代わりに、scpにアクセス許可を設定する方法もあります。これによりアクセスが制限されますが、展開の自動化は劇的に複雑になります。 – m33lky
関連する問題
- 1. 鍵管理サービス
- 2. オープンソースの鍵管理ソリューション
- 3. 秘密鍵の管理
- 4. バージョン管理の意味バージョン管理はどのバージョンですか?
- 5. Avaya PBXのバージョン管理/設定管理?
- 6. バージョン管理メジャーリリース
- 7. リソースファイルのバージョン管理
- 8. テストケースのバージョン管理
- 9. Yoctoのバージョン管理
- 10. スプレッドシートマクロのバージョン管理
- 11. サブプロジェクトのバージョン管理
- 12. マイクロサービスのバージョン管理
- 13. Pythonバージョンの管理
- 14. ワードドキュメントのバージョン管理
- 15. バージョン管理のプラクティス
- 16. Javadocのバージョン管理
- 17. シェルスクリプトのバージョン管理
- 18. ドメインモデルのバージョン管理
- 19. バージョン管理/構成管理for Linuxイメージ
- 20. 自動変更管理/バージョン管理
- 21. バージョン管理システムc#
- 22. バージョン管理戦略
- 23. Mongoidバージョン管理スコープ
- 24. Rest WebServicesバージョン管理
- 25. Powershellバージョン管理ファイル
- 26. バージョン管理 - NEST/C#
- 27. バージョン管理Nestjsルート?
- 28. MySQLバージョン管理 - Subversion
- 29. 動的バージョン管理
- 30. バージョン管理DTOベストプラクティス
これはsecurity.stackexchange.comの方が適切だと思っただけです。誰かがそれを動かすことができますか? – m33lky
私はそれについて知らない。業界では安全な開発慣行が非常に必要であり、このサイトにはセキュリティに関する多くの疑問があります。 – David