こんにちはセキュリティ意識の人々、データベース接続を作成する際に、ハードコードされた資格情報の危険性はありますか?
私は最近、静的コード分析のためのツールで自分のアプリケーションをスキャンしていると、重大度の高い調査結果の一つは、接続を作成するためのハードコードされたユーザー名とパスワードです:
dm.getConnection(databaseUrl,"server","revres");
なぜスキャナはこれがアプリケーションのリスクであると考えていますか?パスワードが侵害された場合に簡単にパスワードを変更できないなどの短所があります。理論的に誰かがバイナリをリバースエンジニアリングして資格情報を知ることができます。しかし、私は、暗号化されていない限り、資格情報を設定ファイルに保存する利点は見当たりません。暗号化すれば、暗号化キーで同じ問題を解決できます...
私には見えないリスクがありますか?あるいは、私はまったく別のアプローチをとるべきですか? ありがとうございます。
これは私が思っていたものですが、私は確信していました。これは私が責任を負っている小さなアプリケーションなので、リスクは私の意見ではあまり高くありません。もちろん、静的コード分析ツールは、DEVチームのサイズや異なる環境のセキュリティレベル(私はDEV、UAT、PRODを使用します)などの要因を考慮に入れることはできません。したがって、重大度の分類はおそらくそれが前提大規模なエンタープライズアプリケーションです。 – Pepa