0
在VCS中存储用于加密/签名PayPal交易的密钥(app_cert.pem,app_key.pem,paypal.pem)有什么安全隐患?我在想,拥有证书和数据库主键的人可以将购买标记为已付款。这是最糟糕的情况,对吧?版本控制中的paypal密钥
A
回答
1
最大的危险在于谁有权访问源代码管理。如果有权访问源代码管理的开发人员已被允许访问密钥,那么只要源控制被锁定,只有授权用户才能访问,则不存在额外风险。
如果您允许对存储库进行匿名读取访问,则其他人可以获取您的密钥,这可能对专门的攻击者有帮助。也许他们会知道如何去做一些我们不会想到的事情。
永远不要低估有技巧和缺乏顾忌的人的聪明才智以及简单的发薪日动机。
个人而言,我不会把它们放在源代码管理中。我会保护他们,就好像他们是我自己的SSN和银行信息一样。
即使您的回购现在紧张锁定,您不知道未来会发生什么变化。例如,对于未来的开发人员来说,开始与外部供应商开展合作非常容易,并且授予只读访问权限,而不会认为他们正在公开此类敏感信息。
相关问题
- 1. 加密版本控制
- 2. MongoDB使用时间戳作为密钥进行版本控制
- 3. 版本1.1.0.rc2中的Spree api密钥
- 4. VSS中的版本控制
- 5. 版本控制
- 6. 版本控制
- 7. 如何在我的版本控制系统中安全地保存我的密钥和密码?
- 8. FirebaseRecyclerAdapter如果使用密钥库版本
- 9. Google电子表格密钥版本
- 10. Python/Boto + AWS S3版本控制:我如何用旧版本替换当前密钥?
- 11. Yocto版本控制
- 12. JAR版本控制
- 13. MySQL版本控制
- 14. iTunesConnect版本控制
- 15. Crontab版本控制?
- 16. PLC版本控制
- 17. TFS版本控制
- 18. Javadoc版本控制
- 19. SVN版本控制
- 20. 使用DDeltaSolution发送控制密钥UIDeskAutomationSpy
- 21. “密钥存储版本错误”错误。我如何创建一个版本= 1的密钥库证书?
- 22. 密码学版本5的方法密钥派生(MKD)
- 23. 如何避免在版本控制中存储密码?
- 24. emacs本地版本控制
- 25. Smalltalk/Seaside的版本控制?
- 26. 版本控制下的xcodeproj
- 27. BusinessObjects的版本控制
- 28. MySql的行版本控制
- 29. has_and_belongs_to_many上的版本控制?
- 30. 简单的版本控制系统或版本控制文件系统或版本控制数据库
只是认为这是更适合security.stackexchange.com。有人可以移动它吗? – m33lky 2011-12-16 19:04:04
我不知道。行业非常需要安全的开发实践,而且该网站有很多与安全有关的问题。 – David 2011-12-16 19:10:49