我应该向私人回购提交沙箱凭证吗？

Question

想在这里获得一些洞察力。我应该提交测试环境的凭据吗？就像用于第三方API的沙箱环境的API令牌，或者甚至可能是测试数据库密码(假设它是一个外部数据库)？

我的安全偏执狂建议我永远不要犯任何凭据。如果这是一个开源项目，我肯定会这么做。但私人回购有可控制的入口。只提交测试凭据并让有权限的人员使用它来进行本地测试和诸如此类的事情会容易得多。

Answer 1

这样做通常不是个好主意，即使是私人回购。您的存储库的部分可能有各种泄漏的方式(例如，笔记本电脑被盗)，虽然这可能是不幸的，但并不像您有泄漏一样糟糕，而且攻击者还具有测试环境的凭据。然后，他们可能会在你的网络或服务中站稳脚跟，利用它提取额外的信息，或者对你的公司造成过度的使用或成本。最大限度地减少攻击者在发生妥协时可能造成的损害是谨慎的，也是一种良好的安全策略。

一些公司选择的是有一个通用的shell服务器供员工使用，以及访问访问服务所需的凭据(例如，从Vault实例中获取凭证)的方法，这有助于减少凭据的使用范围。这种特殊的方法是否适合你的网络，我不能说，但类似的方法可能满足你的需要。