2016-03-09 72 views

回答

7

在將我的網站推向github之前,這些應該添加到.gitignore嗎?

他們不應該在回購中,意味着存儲在回購之外。
這樣:

  • 你不需要管理.gitignore
  • 你可以存儲這些密鑰安全的地方。

GitHub在看到users storing keys and passwords in public repositories後,實際上不得不在2013年更改它的搜索功能。請參閱the full story

The article包括這句話:

的錯誤,可能反映了軟件開發人員的全員教育問題。

當你有加速程序 - 「6周,你將成爲一名真正的軟件開發人員」 - 教導開發人員時,安全性成爲事後考慮。 並考慮「90%的發展正在複製的東西,你不明白,我敢打賭他們大多根本不知道id_rsa是什麼」

在2016年,這個「書」(作爲一個笑話)反映:

https://twitter.com/DomBurf/status/707473924137881600


的OP補充說:

我認爲Heroku需要將文件放入回購站才能運行「>heroku certs:add server.crt server.key」並設置證書。

Configuration and Config Vars」是有關該主題的一個例證:

一個更好的解決方案是使用環境變量,保持鍵調出代碼的。在傳統主機上或在本地工作,您可以在您的bashrc文件中設置環境變量。在Heroku上,你使用config vars。

文章「Heroku: SSL Endpoint」不會強制您在代碼中擁有這些密鑰和證書。他們可以直接在Heroku上生成,並保存在其他地方保存。只是不在git回購。

+0

感謝您的建議!你能否詳細說明「你可以把這些鑰匙存放在安全的地方」? 我認爲Heroku需要將文件放入回購庫才能運行「> heroku證書:添加server.crt server.key」並設置證書。 –

+0

我從來沒有考慮過將Heroku環境變量用於我的SSL證書,謝謝! – simeg