0
我將敏感細節(例如AWS Secret)加載到我的node項目中,dotenv &和.env文件,我將其包含在我的.gitignore中,因爲我已閱讀這是最佳做法。是否可以安全/安全地將API密鑰等檢入到存儲庫中?
如果我想將其他人添加到項目中,甚至克隆另一個系統上的回購,那麼傳輸這些敏感細節的最有效/安全的方式是什麼?我假設電子郵件/谷歌驅動器已經停用,但我不確定內容是什麼。
我的回購是私人的 - 這是否意味着'不簽入API密鑰'的建議不太具體?正如我所看到的,任何獲得回購許可的人都可能需要相關的API密鑰,因此只需檢查它們似乎並不太合理。
使用加密通信通道。取決於你信任的人可能是Skype,Slack,Whatsapp,加密的Jabber,PGP加密的電子郵件,在正常電子郵件中的加密zip文件(通過Skype,WhatsApp等發送的密碼),或者我已經看過僱主,私人git回購加密zip文件 – slebetman
[廉價機密](https://github.com/bpo/cheap-secrets)是一個例子,說明如何使用多個開發人員公共密鑰對文件進行pgp加密任何這些私鑰都可以解密它。 – Matt