1
は、あなたのgitリポジトリからチェックアウト秘密ファイル(何も含むパスワード、APIキーなど)を維持することをお勧めだという常識のように思える(適応症here、here、here、hereと、より多くがある)あなたの秘密をあなたのリポジトリからチェックアウトしておくべきですか?
なぜですか?
A
答えて
1
これらの「秘密」(およびその他のパスワード/セキュリティ/トークン関連値)の値を、リポジトリがチェックアウトされている場所ではなくプロダクション環境でのみ認識することで、セキュリティが強化されます。可能であれば、各環境(たとえば、ローカル開発、開発サーバー、ステージング/デモサーバー、運用環境など)には、独自の認証またはセキュリティパラメータの設定が必要です。これらは、ローカル環境内で構成し、保存しないでくださいアプリケーションのコード自体に
あなたのリポジトリがプライベートであっても、まだ安全ではありません。開発者は出入りします。オペレーションの人々は出入りします。プロジェクトマネジメントは進んで行きます。レポにアクセスできるサードパーティの請負業者がいるかもしれません。十分な大きさのプロジェクトは、時間が経つにつれて多くのアクターが作業する傾向があり、誰もプロダクション設定値(おそらくopsフォークを除く)を知る必要はありません。プライベートレポジトリを使用していても、秘密鍵/値をリポジトリにアクセスするすべての人に公開するセキュリティリスクがあります。
+0
私はかなり多く見ましたが、人々は開発の際にこれらの鍵を必要とし、秘密のバージョンをコンピュータにコピーします。 devにこれらのキーが必要な場合は、何か間違っているのでしょうか? –
+0
@MarcoPrinsそれは、サービスがそのキーをどれだけ重要に使用しているかによって異なります。その判断をするためには、あなたの経験と専門知識が必要です。新しいMVPプロジェクトでは、開発者と協力してデベロッパー専用のバージョンのサービスを作成し、最終的にはそれぞれ別の環境設定ファイルに移行する際に、あまり重要でないキーを保存することができますenv。ちょうどそれをアプリケーションにこの情報を格納する長期的な計画をしないで、重要な(財務?prod DBの信用?)サービスの認証データを保存しないでください。 – Todd
関連する問題
- 1. 私はアクセストークンを秘密にしておく必要がありますか?
- 2. 秘密鍵を秘密にしておく - Androidアプリ内に任意のアイデア
- 3. なぜ登録トークンを秘密にしておく必要がありますか?
- 4. 秘密をgitリポジトリから守るベストプラクティスは何ですか?
- 5. 私は秘密のSSH鍵をリポジトリに公開しました
- 6. BitBucketから秘密のリポジトリが表示されないAzureの配備元
- 7. 私のジオコードAPIキーを秘密にしておく必要がありますか?
- 8. あなたのgitリポジトリは他人からアクセスできますか?
- 9. SFTP秘密鍵をあるサーバーから別のサーバーにコピー
- 10. "あなたのコントローラをあなたのビューから外してから、あなたのコントローラからあなたのモデルを得る"
- 11. 輸入:あなたなら、あなたはなく、構文およびベストプラクティス
- 12. SVN:リポジトリからではなく、ローカルのチェックアウトからのみディレクトリを削除できますか?
- 13. プライベートGithubリポジトリにアクセスできない(公開鍵と秘密鍵の両方がある)
- 14. クライアントの秘密を持たないSpring OAuth2サーバーからaccess_tokenを取得することはできますか?
- 15. あなたはAndroidのXMLであなたを助けてくれますか?
- 16. あなたのアサーションはすべて合格しましたか?
- 17. すべての秘密のためにログインせずにKeyVaultに秘密をリストする?
- 18. 秘密鍵エラーのパラメータが正しくありません
- 19. iOS(Objective-C)の秘密鍵から派生した証明書
- 20. シェフの秘密のデータバッグから秘密の値を取得する
- 21. のopenssl:秘密鍵とチェーン証明書を結合しながら、ありません証明書が一致した秘密鍵/チェーン証明書
- 22. あなたのtor_hostnameからあなたのtor_policy_keyをpythonで生成します
- 23. OAuthの秘密についてはどういう秘密がありますか?
- 24. JavaおよびHTTPSでインポートされた秘密鍵の問題
- 25. Keychainの秘密鍵セクションに非常に多くのiMessage署名鍵があるのはなぜですか?
- 26. あなたのハードドライブを共有しておきます
- 27. 私はApple Developer Team IDを秘密にしておきますか?
- 28. Azure鍵Vaultから秘密を取得しようとしているときに無傷になった
- 29. etokenからエクスポートできない秘密鍵を使用したxmlリクエストの署名C#
- 30. あなたはいくつの変数チェックを行うべきですか?
"secret"という単語の辞書エントリは次のとおりです。http://www.dictionary.com/browse/secret –
注:「チェックアウト」は間違ったフレーズです。ちょうど "出て"言ってください。 「チェックアウトされている」とは、最初はリポジトリ内にあることを意味します。リポジトリ内のものは、定義上は*秘密ではありません。 – torek