Questa è una domanda interessante con diverse sfaccettature che dovrebbero essere scomposte.
La prima domanda che hai posto è "Quanto è rischioso?" e la risposta è "Molto". Esponendo queste credenziali su un servizio di terze parti che non controlli e gestisci, aumenti il rischio. Ci sono molti modi in cui le tue credenziali potrebbero essere esposte: compromissione del servizio, account di servizio compromessi, errore di autorizzazione nel servizio, intercettazione della rete (se SSL / TLS non è utilizzato per servire il codice), concedi l'accesso alla persona sbagliata, ecc.
Fondamentalmente, considera quelle credenziali esposte.
Sembra terribile, vero? Forse no ... Ora devi fare la domanda "Sono a mio agio con quel rischio?" Se hai altre attenuazioni, potresti essere d'accordo. Se si limita (forse con la whitelist IP) in cui è possibile utilizzare quelle credenziali, le credenziali diventano meno utili da rubare. Il servizio potrebbe anche avere un valore estremamente basso e non ha senso dal punto di vista finanziario per aggiungere ulteriore sicurezza. Se il costo di recupero da un compromesso è di $ 10 e l'aggiunta di una sicurezza aggiuntiva costerebbe $ 1.000.000, allora si vive con il rischio. (Detto questo, se hai preso un impegno nei confronti dei tuoi utenti in merito alla loro protezione o alle loro informazioni, hai l'obbligo etico di cercare di onorare questo impegno, indipendentemente dal costo.)
Alcuni pensieri aggiuntivi:
"Progetti a cui sto lavorando per la mia azienda" - Stai facendo questo per conto della società per cui lavori, probabilmente hanno politiche o pratiche accettabili. Se questo è il caso, quelli dovrebbero avere un precedente su ciò che ti sta bene. Il rischio che stai creando influenza la tua azienda e la sua reputazione, l'azienda arriva a fare la chiamata finale.
Lucas Kauffman suggerisce un buon approccio. Non posso dire se funzionerà per te, ma il takeaway è trovare una soluzione che funzioni per il tuo processo di implementazione e riduca il rischio a un livello constrongvole.