我已经为我的组织注册了 GitHub Teams 免费计划,并且我们正在考虑将我们的代码推送到 GitHub 上的私有存储库。我们的项目由几十年前的遗留代码组成,并且有大量针对各种服务器和数据库的硬编码凭据(不仅在代码中,而且在注释中)。
\n我不想让我的团队更改所有这些代码以将凭据存储在配置文件中,我不能 100% 确定我们的各种技术堆栈支持这一点。这也将非常耗时,并且不能保证我们能够找到每一个凭证参考。我\xe2\x80\x99m 只是想知道即使我们创建的存储库不是公开的,使用所有这些凭据推送代码是否安全?
\n将代码存储在 GitHub 上的安全性并不比存储在其他地方低。例如,GitHub 通常会花费大量精力来保护存储库,并且未经存储库所有者同意,员工不得查看私有存储库的内容。将此代码推送到 GitHub 本质上不会比将其存储在任何其他服务器上更多地暴露它。
然而,话虽如此,无论您在何处托管该代码,将凭据存储在存储库中都是一个安全问题。由于服务器配置错误、笔记本电脑被盗或各种其他情况等多种原因,存储库很容易意外泄漏。如果没有其他原因,您将至少花一点精力使用更安全的做法来存储凭据,如果您将它们存储在一个安全的地方,您可以在其中找到所有凭据。例如,当凭证都位于 Vault 这样的工具中时,轮换凭证就会容易得多,并且您可以轻松地在所有系统之间轮换受损的凭证。
所以,一般来说,你所做的事情不是很安全,但使用或不使用 GitHub 不会改变这一点。
| 归档时间: |
|
| 查看次数: |
3662 次 |
| 最近记录: |