È sicuro installare TortoiseSVN sui server di produzione?

5

Piccolo negozio, pochi server di produzione, nessun server di test o di sviluppo, tutto basato su Win2k3 WEB.

È necessario mantenere i file con versione su uno dei computer. TortoiseSVN è sicuro contro la sfruttabilità, ha bisogno di ulteriore tempra? Problemi noti di licenza, incompatibilità?

    
posta Coder 05.04.2012 - 00:48
fonte

3 risposte

4

Se stai usando SVN per distribuire roba, allora sicuro, perché no? Non riesco a contare il numero di volte che è stato in grado di passare alla versione precedente della app che ha salvato le nostre code. Ha anche aperto degli angoli per consentire alle persone di impostare la spinta verso la produzione senza accesso - si impegnano, le operazioni eseguono svn update.

Per quanto riguarda la sicurezza, non esegue nulla che dovrebbe essere sfruttabile da remoto e se hai problemi di exploit locali sul server, probabilmente devi rivedere la tua politica di sicurezza. Il problema più grande se si tratta di app Web è che le cartelle .svn su Windows potrebbero potenzialmente essere lette in base all'impostazione del server. IIS predefinito va bene - non passa estensioni sconosciute. Ma se si è, per esempio, in esecuzione Tomcat come un server Web, permetterà alle persone HTTP OTTIENI i tuoi svn-revprops e potenzialmente i bit del tuo codice sorgente, senza un po 'di messa a punto. Questo problema viene risolto da svn 1.7 poiché non ci sono più cartelle .svn in ogni cartella, poiché 1.7 utilizza un DB sqllite centrale. Quindi se rendi la cartella radice più alta di quella del webroot sei d'oro.

Oppure, se ti aiuta abbastanza da meritare di essere implementato in produzione piuttosto che comprenderlo, devi capire alcuni caveat intorno alle strutture dei file.

    
risposta data 05.04.2012 - 01:48
fonte
0

Non è una buona pratica. Ogni bit del software aumenta la portata delle vulnerabilità. In generale, dovresti avere il minor numero possibile di software sul tuo server. Inoltre, a meno che tu non stia inviando traffico su HTTP , implica che un'altra porta porti aperta.

Per quanto riguarda le licenze, stai bene, è open source.

Penso che un approccio migliore sarebbe la versione dei file sul computer di sviluppo prima che vengano distribuiti sul server.

    
risposta data 05.04.2012 - 01:13
fonte
-4

Anch'io sono d'accordo sul fatto che non è una buona pratica avere un repository su un server di produzione. Quindi stai andando alla versione dei file sul computer di sviluppo e versioni dei file sul server di produzione? Se hai tanto tempo a disposizione per raddoppiare il lavoro, non ti danno abbastanza lavoro amico mio. Questo è ciò che la macchina di sviluppo è utilizzata per sviluppare il codice, la versione del codice, le modifiche di traccia, le modifiche di test, ..... ALLORA DEPLOY TO PRODUCTION machine. Tutto sulla macchina di produzione sta funzionando correttamente se usi correttamente la tua macchina di sviluppo.

    
risposta data 26.01.2015 - 23:00
fonte

Leggi altre domande sui tag