我正在使用hasura构建一个将在生产中使用的产品。发布具有所有配置和结构的回购是否是安全方面的不良做法?基本上所有的数据库迁移和配置。
当然,我不会包括任何密钥或敏感信息。
这有风险吗?
问题是100%关于安全最佳实践。我不介意任何人复制或使用代码。
如果没有必要发布配置和结构,我不会这么做。如果你有配置错误,很容易有人检查你的配置并利用你的规则。配置可能会变得棘手,如果您犯了一个错误并将其记录在存储库中,则可能会打开数据库进行攻击。即使你是一名数据库专家,并且已经抵御了所有威胁,未来也可能会发现一个新的漏洞,可以利用某些配置。
底线。数据库的首要任务是确保安全并防止丢失。这不会提高安全性,并可能导致未来出现问题。在我看来,我不会公布你的配置设置。
查看berkeley.edu的这篇文章,了解更多研究:
https://security.berkeley.edu/education-awareness/best-practices-how-tos/system-application-security/database-hardening-best