Ant*_*ean 5 security version-control certificate
假设我们为每个客户生成一个自签名证书。它们用于打包/部署管道的某些部分,并最终出现在客户的本地计算机上。它们用于连接到我们的网络服务。
我们应该将这些证书提交给源代码管理吗?该存储库是私有的,只有同事可以访问。我是否应该出于某种安全原因将它们排除在外(即使这只是限制意外暴露的访问,更不用说恶意活动了)?
如果我们将它们排除在外,我们是否应该每次都将它们生成为打包/部署管道的一部分?或者将它们保存在某个安全的密钥库中并检索它们?
小智 1
这是一种信任和暴露的情况。您信任那些有权访问存储库的人吗?请记住,大多数妥协来自内部人士。
我的想法是这样的: