In che modo i progetti open source gestiscono artefatti sicuri?

9

In particolare, in che modo vengono gestiti elementi come i keystore o altri elementi necessari per creare o eseguire un'app?

Nel mio caso, ho un'app Chrome OS che richiede un keystore per creare e pubblicare sul Chrome Web Store.

Ho diverse idee, ma voglio davvero sapere in che modo gli altri stanno effettivamente gestendo questo tipo di situazione.

    
posta Rory Alsop 24.02.2012 - 15:10
fonte

2 risposte

8

Ricorda la seguente regola importante:

  • Non inserire chiavi o segreti crittografici nel codice!

Questa regola non è specifica per l'open source. È una buona regola per tutto il codice sorgente.

Forse ti stai chiedendo: dove dovresti conservare chiavi segrete, password, ecc.? La risposta: memorizzarli in un file di configurazione separato, non nel codice sorgente. Non includerli nel repository del codice sorgente / nel sistema di controllo della versione.

    
risposta data 01.03.2012 - 04:16
fonte
5

Una domanda simile è stata posta nel link

Poiché si tratta di un problema di integrazione / distribuzione, potresti prendere in considerazione l'utilizzo di una funzione di ricerca per dati sensibili.

Usando le parole chiave per identificare i tuoi dati e mantenere tabelle separate durante lo sviluppo, la staging e la produzione, puoi ancora eseguire test contro questa parte del codice, proteggendo al contempo i dettagli sensibili.

Esempi: Java getProperty () o Puppet extlookup ()

Aggiornamento: consulta anche questa Encrypted Yaml estensione Hiera. Hiera è il successore (ora standard) di estlookup () in Puppet.

Avrai comunque bisogno di un posto dove queste chiavi possano essere decifrate senza un operatore presente, quindi il burattinaio dovrà conoscere quelle chiavi. Poiché eyaml utilizza la crittografia asimmetrica, non è necessario condividere le chiavi. fai hai bisogno di controlli adeguati per l'accesso al burattinaio, ma non è una novità.

    
risposta data 28.02.2012 - 16:46
fonte

Leggi altre domande sui tag