我正在考虑托管的SVN解决方案,最好是使用Trac,但我有一个主要关注点:Connectionstrings。
我主要在网站上工作,所以他们都在web.config中有一个连接字符串,这意味着我的数据库密码将“暴露”给托管的SVN提供商。
当您选择使用托管的SVN提供商时,您有什么做过/想过这个“安全漏洞”?
我正在寻找一种避免连接字符串被提供者读取的方法,或者只是一些聪明的洞察力来解释为什么我不应该担心:-D
编辑:澄清网站确实是基于ASP.Net的。 编辑#2:简单地购买托管服务器,自己安装SVN,Trac等可能更安全吗? (如http://www.slicehost.com/)答案 0 :(得分:3)
如果安全是一个大问题,你应该自己主持SVN 连接字符串只是您应该担心的许多方面之一。其他人是SVN主机或有人攻击SVN主机攻击/窃取/销售您的整个代码库和/或在源代码中搜索可利用的错误。甚至可以修改代码并在代码中注入后门。
要么您信任SVN主机,要么您不信任。如果你不相信它,找一个人或托管你自己。
答案 1 :(得分:1)
我添加了ASP.NET标记,因为它既隐含在您的问题中,也与此答案相关。
不要自己发布连接字符串。有几种方法可以做到这一点。一个是svn:忽略Web.config,虽然这可能是不受欢迎的,因为通常有值得跟踪的变化。
如果您至少使用最新的MSBuild,或者更有可能使用Visual Studio 2010,则可以使用多个Web.config文件,以便每个环境都有一个。这有帮助,因为您可以拥有一个实际上不包含连接字符串的“基础”Web.config,然后在Web.debug.config和Web.release.config上使用svn:ignore,您实际上将添加连接字符串。请参阅http://msdn.microsoft.com/en-us/library/dd394698.aspx#webconfig_transformation。
答案 2 :(得分:0)
因为这些字符串存在安全风险,并且因为它们对于不同的安装而言是不同的,所以我倾向于在我的svn中提供配置模板。
每当我进行结账时,您需要将模板实例化为真实配置,或者如果您感觉有点,请运行安装脚本。确保你的配置不会从安装迁移到你的svn,而且你是无家可归的。
答案 3 :(得分:0)
我最终获得了一个托管服务器,这样我就可以控制root密码等,而不必担心其他人在我的代码中徘徊: - )