Я сделал поиск и неожиданно не нашел ответа. Сейчас мы не фиксируем наш файл API Keys / .env в репозитории, над которым работает растущая команда из 4 человек. Всякий раз, когда мы меняем что-то, например, пароль БД, мы отправляем его друг другу через Slack.
Это кажется бессмысленным, если учесть, что наше репо является приватным, а не разветвленным, и доступ к нему имеют только сотрудники.
Единственное, что я могу увидеть, это не так:
- Сотрудник случайно опубликовал репо публично. Хотя в любом случае это было бы катастрофой, поскольку вся наша кодовая база была бы общедоступной, поэтому я не понимаю, как смена ключей и паролей станет для нас самой большой проблемой.
- Учетная запись сотрудника взломана. См. Выше ^ (Мы также применяем MFA как утешение).
- Сами GitHub взломаны, что опять же вызывает у нас большие проблемы (и у большинства софтверных компаний).
- Вставьте здесь смутный заговор Microsoft
Есть ли причина, по которой мы должны продолжать эту практику, или мы можем просто зафиксировать наш .env файл?