将API密钥和.env文件提交到私人企业仓库是否可以接受?

时间:2019-06-13 12:29:17

标签: git security github environment-variables

我进行了搜索,但出人意料地没有找到答案。目前,我们没有将API密钥/ .env文件提交到一个由4人组成的小组进行开发的仓库中。每当我们更改某些内容(例如DB密码)时,我们都会通过Slack将其相互发送出去。

考虑到我们的回购是私有的,不是可分叉的,并且只能由员工访问,这似乎毫无意义。

我唯一看到这种情况的方法是:

  1. 员工不小心公开发布了该回购。尽管无论如何这都是一场灾难,因为我们的整个代码库都是公开的,所以我看不到更改密钥和密码将是我们最大的担忧。
  2. 一个员工帐户被盗。参见上文^(我们也强制执行MFA作为安慰)。
  3. GitHub本身遭到破坏,这又又给我们带来了更大的问题(以及大多数软件公司)。
  4. 在此处插入模糊的Microsoft阴谋

是出于某种原因,我们应该继续这种做法还是可以只提交?文件?

1 个答案:

答案 0 :(得分:0)

我们现在使用 ENVKEY 来解决这个问题。

相关问题
最新问题