0
在VCS中存儲用於加密/簽名PayPal交易的密鑰(app_cert.pem,app_key.pem,paypal.pem)有什麼安全隱患?我在想,擁有證書和數據庫主鍵的人可以將購買標記爲已付款。這是最糟糕的情況,對吧?版本控制中的paypal密鑰
A
回答
1
最大的危險在於誰有權訪問源代碼管理。如果有權訪問源代碼管理的開發人員已被允許訪問密鑰,那麼只要源控制被鎖定,只有授權用戶才能訪問,則不存在額外風險。
如果您允許對存儲庫進行匿名讀取訪問,則其他人可以獲取您的密鑰,這可能對專門的攻擊者有幫助。也許他們會知道如何去做一些我們不會想到的事情。
永遠不要低估有技巧和缺乏顧忌的人的聰明才智以及簡單的發薪日動機。
個人而言,我不會把它們放在源代碼管理中。我會保護他們,就好像他們是我自己的SSN和銀行信息一樣。
即使您的回購現在緊張鎖定,您不知道未來會發生什麼變化。例如,對於未來的開發人員來說,開始與外部供應商開展合作非常容易,並且授予只讀訪問權限,而不會認爲他們正在公開此類敏感信息。
相關問題
- 1. 加密版本控制
- 2. MongoDB使用時間戳作爲密鑰進行版本控制
- 3. Visual Studio 2013 Git版本控制 - SSH密鑰
- 4. 版本1.1.0.rc2中的Spree api密鑰
- 5. 默認控制器密鑰
- 6. Azure密鑰保險庫密鑰/祕密版本
- 7. Paypal Payments Pro API密鑰
- 8. 適用於發佈的版本密鑰...
- 9. VSS中的版本控制
- 10. 控制asp.net中的版本
- 11. 版本控制中的robots.txt
- 12. 版本控制
- 13. 版本控制
- 14. 如何在我的版本控制系統中安全地保存我的密鑰和密碼?
- 15. Android版本的密鑰庫版本不正確
- 16. 未找到Java密鑰版本?
- 17. Google電子表格密鑰版本
- 18. FirebaseRecyclerAdapter如果使用密鑰庫版本
- 19. Python/Boto + AWS S3版本控制:我如何用舊版本替換當前密鑰?
- 20. Java版本控制
- 21. PLC版本控制
- 22. NuGet版本控制
- 23. JAR版本控制
- 24. iTunesConnect版本控制
- 25. MySQL版本控制
- 26. NHibernate版本控制
- 27. TFS版本控制
- 28. Javadoc版本控制
- 29. Crontab版本控制?
- 30. Yocto版本控制
只是認爲這是更適合security.stackexchange.com。有人可以移動它嗎? – m33lky 2011-12-16 19:04:04
我不知道。行業非常需要安全的開發實踐,而且該網站有很多與安全有關的問題。 – David 2011-12-16 19:10:49