【发布时间】:2014-02-13 14:32:20
【问题描述】:
假设所有配置数据/数据库密码等都隐藏在不受版本控制的配置文件中,在 github/bitbucket 上发布站点代码可能会导致什么样的安全问题(尚不存在的问题只是通过拥有一个公共网站)?还假设它是一个利用身份验证和数据库交互的重要站点。
我注意到 github 上的一些网站,想知道这是否是一种安全/不安全的做法。
【问题讨论】:
标签: version-control github open-source sharing
假设所有配置数据/数据库密码等都隐藏在不受版本控制的配置文件中,在 github/bitbucket 上发布站点代码可能会导致什么样的安全问题(尚不存在的问题只是通过拥有一个公共网站)?还假设它是一个利用身份验证和数据库交互的重要站点。
我注意到 github 上的一些网站,想知道这是否是一种安全/不安全的做法。
【问题讨论】:
标签: version-control github open-source sharing
Security by obscurity 不起作用。
如果将源代码上传到 GitHub 会发现安全问题,那么您已经遇到了安全问题。通过隐藏源代码来隐藏它们对提高安全性的作用非常非常小。
您甚至可能会收到错误报告和/或修复,从而使您的代码更安全,而不是更少。 (除非您的网站知名度很高,否则我不会期待,但这是可能的。)
当然,正如您已经提到的,您的数据库凭据等不应包含在您的存储库中。
【讨论】: