发布到生产的Web转换会带来安全风险

时间:2016-05-21 00:04:31

标签: security octopus-deploy web-config-transform

我们的asp mvc是使用octopus deploy自动发布的。我们使用Web配置转换,我们总是在安装文件夹中添加其他特定于环境的文件。例如

Web.development.config Web.test.config Web.preprod.config

部署这些文件略有优势,因为我们可以在排除故障时轻松比较不同环境之间的值。

将不同的配置文件部署到生产环境是否存在安全风险?

2 个答案:

答案 0 :(得分:2)

IIS应配置为默认情况下阻止下载.config个文件,但根据您的安全需求有多紧,可能值得删除它们。 (例如,如果某人包含测试服务器,则他们无法访问生产)。

如果你想摆脱它,你可以编写一个PostDeploy.ps1脚本来删除Web。*。config

答案 1 :(得分:0)

可以使用社区提供的步骤File System - Clean Configuration Transforms删除这些文件。

如果希望它们可用于诊断目的,请重新部署发行版,但请关闭此步骤。