Se cose come ID di progetto, ID di regione cloud, ecc. sono tenuti segreti su un progetto open source?

3

Tutti i miei progetti secondari sono open source: basta usare l'account Github gratuito.

Mi chiedo in che misura la sicurezza debba avere a che fare con cose come:

  • ID progetto di Google Cloud Platform
  • ID del progetto Log Rocket
  • Registrazione degli indirizzi email

nascosto nei miei commit.

E se sono qualcosa di cui preoccuparsi, qual è il modo più semplice per gestirli? Se il materiale era solo in javascript, è abbastanza facile conservarlo in un file config-secret.json e aggiungerlo a .gitignore . Ma sto anche usando questi valori nei file di script yaml e bash.

    
posta dwjohnston 23.09.2018 - 08:02
fonte

2 risposte

1

Supponendo che i fornitori di servizi cloud sottostanti siano sicuri (ovvero che non perdano informazioni dagli ID o concedano l'accesso non autorizzato a modificare le impostazioni del progetto a cui si riferiscono), in genere non vi è alcun problema con gli ID in fase di commit. Esse rivelano il fatto che esiste una relazione di servizio, niente di più. Naturalmente, il resto del codice che si interfaccia con quegli ID rivelerebbe anche che la relazione esiste.

Tuttavia, commettere gli indirizzi email di registrazione è un problema. Se questi indirizzi e-mail sono trapelati, e ci sono informazioni sufficienti da parte loro per ricostruire la forma dei registri, aumenta il rischio di elaborazione se il mittente dei registri non li firma correttamente con DKIM o simili, e / o se il il destinatario non verifica quella firma prima di agire su di essi. Si noti che non si può davvero fidarsi dei log delle e-mail senza verificarli, a prescindere; Poiché gli indirizzi di posta elettronica sono anche soggetti a ricevere messaggi indesiderati e indesiderati, potresti non riuscire a elaborare alcune email di un modulo non appropriato se non stai attento. La probabilità di dover gestire tale comportamento aumenta anche quando si inserisce l'indirizzo e-mail in un archivio pubblico. (Se vuoi testare la tua capacità di gestire correttamente le submission indesiderate a quell'indirizzo email, ma puoi anche testare inviando a quell'indirizzo email anche gli indirizzi email di presentazione non approvati.

Come sempre, la decisione finale di farlo dovrebbe essere saldamente radicata nella politica di sicurezza, che è necessariamente basata sulle valutazioni delle minacce e sulle strategie di mitigazione per tali minacce. Chiunque qui può solo esprimere i propri pensieri basandosi sulla propria comprensione dei problemi coinvolti, e nessuno qui ha idea di quali siano le tue strategie di mitigazione delle minacce - o anche cosa dovrebbero basarsi su informazioni che solo tu hai. Prendi decisioni sagge, che quasi certamente non includono "accettare e agire sulla parola di membri casuali di StackExchange senza ulteriori pensieri critici".

    
risposta data 27.09.2018 - 22:49
fonte
0

Suppongo che questi file di script Yaml e bash facciano parte del progetto open source. Che ne dici di scrivere uno script che sostituirà quei valori, spingere le modifiche sul server e quindi sostituire i valori per te. Puoi sostituire i valori con i commenti che identificano ciò che deve essere collocato lì.

    
risposta data 26.09.2018 - 17:11
fonte

Leggi altre domande sui tag