答案 0 :(得分:1)
通过制作这些"秘密的价值来增强安全性。 (以及其他密码/安全/令牌相关值)仅在生产环境中已知,而不是任何存储库签出的位置。每个环境(例如,本地开发,开发服务器,登台/演示服务器,生产环境等)都应该有自己独立的身份验证或安全参数配置,如果可能的话,这些应该在本地环境中配置,而不是存储在应用程序的代码本身。
即使您的存储库是私有的,它仍然不安全。开发人员来去匆匆。操作人员来去匆匆。项目管理来来去去。您可能有一些具有回购访问权限的第三方承包商。一个足够大的项目往往会有很多演员随着时间的推移而工作,并且他们中的任何一个都不需要知道生产配置值(除了ops民谣之外)。即使使用私有存储库,仍然存在将秘密密钥/值暴露给具有repo访问权限的任何人的安全风险。