0
在VCS中存儲用於加密/簽名PayPal交易的密鑰(app_cert.pem
,app_key.pem
,paypal.pem
)有什麼安全隱患?我在想,擁有證書和數據庫主鍵的人可以將購買標記爲已付款。這是最糟糕的情況,對吧?版本控制中的paypal密鑰
在VCS中存儲用於加密/簽名PayPal交易的密鑰(app_cert.pem
,app_key.pem
,paypal.pem
)有什麼安全隱患?我在想,擁有證書和數據庫主鍵的人可以將購買標記爲已付款。這是最糟糕的情況,對吧?版本控制中的paypal密鑰
最大的危險在於誰有權訪問源代碼管理。如果有權訪問源代碼管理的開發人員已被允許訪問密鑰,那麼只要源控制被鎖定,只有授權用戶才能訪問,則不存在額外風險。
如果您允許對存儲庫進行匿名讀取訪問,則其他人可以獲取您的密鑰,這可能對專門的攻擊者有幫助。也許他們會知道如何去做一些我們不會想到的事情。
永遠不要低估有技巧和缺乏顧忌的人的聰明才智以及簡單的發薪日動機。
個人而言,我不會把它們放在源代碼管理中。我會保護他們,就好像他們是我自己的SSN和銀行信息一樣。
即使您的回購現在緊張鎖定,您不知道未來會發生什麼變化。例如,對於未來的開發人員來說,開始與外部供應商開展合作非常容易,並且授予只讀訪問權限,而不會認爲他們正在公開此類敏感信息。
只是認爲這是更適合security.stackexchange.com。有人可以移動它嗎? – m33lky 2011-12-16 19:04:04
我不知道。行業非常需要安全的開發實踐,而且該網站有很多與安全有關的問題。 – David 2011-12-16 19:10:49