尝试在这里获得一些见解。我应该提交测试环境的凭据吗?像第三方API沙箱环境的API令牌,甚至可能是测试数据库密码(假设它是某种外部数据库(?
我的安全偏执狂建议我永远不要提交任何形式的证书。如果这是一个开源项目,我肯定会这么做。但一个有控制访问权的私人回购。。。只需提交测试证书,并让有权访问回购的人使用它,进行本地测试和类似的事情,会容易得多。
这样做通常不是一个好主意,即使对于私人回购也是如此。存储库的某些部分可能会以各种方式泄漏(例如,笔记本电脑被盗(,虽然这很不幸,但它并不像您有泄漏那么糟糕,而且攻击者也拥有您的测试环境的凭据。然后,他们可能会在您的网络或服务中站稳脚跟,利用它来提取更多信息,或者给您的公司带来过度使用或成本。在妥协的情况下,最大限度地减少攻击者可能造成的损害是谨慎的,也是一种良好的安全策略。
一些公司选择使用一个供员工使用的通用外壳服务器,以及访问服务所需的凭据(例如,从Vault实例获取凭据(的方法,这有助于减少凭据的使用范围。这种特定的方法是否适合你的人际网络,我不能说,但类似的方法可能会满足你的需求。