【发布时间】:2020-11-28 13:17:14
【问题描述】:
我正在使用 hasura 构建一个将用于生产的产品。发布包含所有配置和结构的存储库是不好的做法吗?基本上所有的数据库迁移和配置。
当然,我不会包含任何密钥或敏感信息。
这样做有风险吗?
问题是关于安全最佳实践的 100%。我不介意任何人复制或使用代码。
【问题讨论】:
【发布时间】:2020-11-28 13:17:14
【问题描述】:
如果没有必要发布配置和结构,我不会这样做。如果您有配置错误,那么有人很容易检查您的配置并利用您的规则。配置可能会变得很麻烦,如果您犯了错误并将其记录在存储库中,这可能会使数据库受到攻击。即使您是数据库专家并且已经防御了所有威胁,将来也可能会发现新的漏洞利用某些配置。
底线。数据库的首要任务是确保安全并防止丢失。这不会提高安全性,并可能导致将来出现问题。以我的拙见,我不会发布您的配置设置。
查看 berkeley.edu 的这篇文章以进行进一步研究:
【讨论】:
-
这是有道理的,不幸的是,它使得有意义地开源最终结果变得更加困难。但安全首先是有意义的。
-
这是一个权衡。开源项目将发布数据库模式。如果您有用户,将发现并报告/修补安全漏洞。但是,如果您对封闭的站点/业务使用相同的代码,则在修补之前漏洞将更加明显。您可能希望将其关闭,直到一些生产错误得到修复,稍后再打开。