Должен ли я передавать учетные данные песочницы в частное хранилище?

Question

Попытка получить некоторое представление здесь. Должен ли я передавать учетные данные для тестовой среды? Как и токены API для сред песочницы сторонних API, или, может быть, даже пароль тестовой базы данных (предположим, что это своего рода внешняя база данных)?

Моя паранойя безопасности советует мне никогда не передавать какие-либо учетные данные любого рода. И если бы это был проект с открытым исходным кодом, я бы, конечно, go таким образом. Но частное репо с контролируемым доступом ... Было бы намного проще просто зафиксировать учетные данные и позволить людям, имеющим доступ к репо, использовать его для локального тестирования и тому подобного.

Answer 1

Обычно это не очень хорошая идея, даже для частных репозиториев. Существуют различные способы утечки частей вашего репозитория (например, кража ноутбука), и, хотя это будет неудачно, это не так плохо, как если бы у вас была утечка и также у злоумышленника есть учетные данные в вашей тестовой среде , Затем они могли бы закрепиться в вашей сети или услугах, использовать их для извлечения дополнительной информации или вызвать чрезмерное использование или затраты для вашей компании. Минимизация ущерба, который может нанести злоумышленник в случае компрометации, является разумной и хорошей политикой безопасности.

Некоторые компании предпочитают иметь общий сервер оболочки для использования сотрудником и способ доступа к учетным данным ( например, извлечение их из экземпляра Vault), которые необходимы для доступа к службам, что помогает сократить объем использования учетных данных. Я не могу сказать, подходит ли этот конкретный подход для вашей сети, но подобный подход может удовлетворить ваши потребности.