LINUX.ORG.RU

Безопасно ли коммитить ключи в public version control


0

1

У нас шаровый хостинг одного проекта на одном из хостингов управления исходным кодом. Проект внутренний, но ничего страшного если кто-то увидит сорцы, так как кроме нас проект никому не нужен. Потому выложили на паблик доступ и не паримся, нам вообще по*. Только вот ключи надо было нагенерить жабским keytool. Чтобы с ними не таскаться хотелось бы их банально закоммитить, но вот на сами ключи нам не все равно. Хочется спросить, этот пароль который якобы защищает keystore, насколько он его защищает, или фигня? Кроме брута его никак?

★★★☆☆

Я бы не доверил.

dave ★★★★★ ()

Может сделать как в джанге? Т.е. есть основной код, но у каждого разработчика есть файл локальных настроек. В него обычно всякие пароли и выносятся и его в репозиторий не коммитят.

tanenn ()

Главное что бы от брута был устойчив, без него скорее всего никак, но и для брута вами должны заинтересоваться ;)
Если же таки будет слив - то слив всей базы ---> вами должны заинтересоваться вдвойне, что бы выделить из всей толпы
имхо, играть в неуловимого Джо нет смысла

elrprt ()
Ответ на: комментарий от tanenn

Так будет храниться пароль доступа к хранилищу ключей, он запаролен. безопасно ли выкладвать само хранилище

vertexua ★★★☆☆ ()

Как вариант, можно поместить эти ключи в version control, но только в другой репозиторий. Из паблик доступа файл становится недоступен => (потенциальные) любопытные глаза ничего не увидят. А при внутреннем употреблении, в то же самое время, имеем простой и удобный checkout из репы.

Zloddey ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.