Yev*_*man 6 security open-source github
我正在考虑在Github上为我的实时网站开源代码.到目前为止,我一直在将代码存储在私人仓库中,我唯一担心的是有一些与我的生产环境(数据库密码,API密钥等)相关的配置文件,我不想这样做公开可见.
在不暴露私人数据的情况下开放此类项目的典型方法是什么?你只是维护两个回购,一个公共的和一个相同的私人数据,添加私人数据,偶尔合并两者之间?
对于Git,我建议您添加规则.gitignore以忽略包含敏感信息的文件(.hgignore对于Mercurial).尽量将敏感信息保存在一个地方(例如设置文件).如果您使用Web框架,此信息通常在一个文件中(例如,在Django中,有一个带有DB信息,密钥等的settings.py文件)如果您的应用程序的各个部分都存在敏感信息,将信息分解成某种配置文件或对象的因素.
如果您希望人们仍然知道数据的来源,请在虚拟数据中包含一个示例或虚拟文件,并在某处(在文件或README中)表示文件必须更改.然后,您可以为文件命名,例如,settings.py.example忽略真实settings.py.
保持多个回购是一个坏主意.只需省略敏感数据,并确保明确表明它已丢失,缺少什么,以便人们仍然可以重复使用您的工作.