我已经为我的组织注册了 GitHub Teams 免费计划,我们正在考虑将我们的代码推送到 GitHub 上的私有存储库。我们的项目由几十年前的遗留代码组成,并且有许多针对各种服务器和数据库的硬编码凭据(不仅在代码中,而且在注释中)。
我不想让我的团队更改所有这些代码以在配置文件中存储凭据,我不能 100% 确定我们的各种技术堆栈支持这一点。这也将非常耗时,并且无法保证我们可以找到每一个凭据引用。我只是想知道即使我们创建的存储库不是公开的,使用所有这些凭据推送代码是否安全?
答案 0 :(得分:0)
将代码存储在 GitHub 上的安全性不亚于将其存储在其他任何地方。例如,GitHub 通常会付出很大的努力来保护存储库的安全,未经存储库所有者的同意,员工不得查看私有存储库的内容。将此代码推送到 GitHub 不会比将其存储在任何其他服务器上更本质上公开它。
但是,话虽如此,无论您在何处托管该代码,将凭据存储在您的存储库中都是一个安全问题。由于服务器配置错误、笔记本电脑被盗或其他各种情况,存储库很容易因多种原因意外泄漏。如果没有其他原因,您至少需要付出一点努力来使用更安全的方法来存储凭据,否则您将它们存储在一个安全的地方,您可以在其中找到所有凭据。例如,当凭据都存在于 Vault 等工具中时,轮换凭据会容易得多,而且您可以轻松地在所有系统中轮换受损凭据。
所以,总的来说,你所做的事情不是很安全,但使用或不使用 GitHub 不会改变这一点。