Voglio sapere se esiste un reale motivo di sicurezza per non abilitare strumenti come git , WP-CLI o npm . Voglio eseguire un server (Centos / CPanel), ma voglio essere sicuro che abilitarli non sarebbe un rischio.
La motivazione alla base di questo è di essere più produttivi e smettere di implementare usando un file zip o FTP (non lo uso mai, è insicuro e lento).
L'utilizzo di git ti espone a un potenziale rischio e ti dà alcuni sostanziali vantaggi.
Se i tuoi utenti non riescono ad accedere al server oggi, e se stai andando a compilare il loro codice su quel server, probabilmente stai permettendo loro di eseguire il codice in un modo che non possono oggi. Questo è il rischio. Questo è probabilmente un piccolo aumento reale del rischio: stavi già eseguendo il codice.
Questo è sostanzialmente mitigato dall'esistenza di logging e potenzialmente responsabilità: il codice che eseguono deve essere controllato in git, dove sarai in grado di vedere cosa hanno fatto.
Il compromesso è probabilmente una vittoria sostanziale per la sicurezza.
Puoi sicuramente utilizzare strumenti come git su un server condiviso a patto che tu segua alcune best practice e non esporre file di metadati git sul web. Utilizzando ganci ben configurati che utilizzano un'autenticazione strong, questo può essere molto più sicuro del caricamento di file su SFTP, specialmente se lo si utilizza in sola lettura.
Dovresti assicurarti di isolare correttamente gli utenti e utilizzare il principio del privilegio minimo. È possibile utilizzare account Unix o Gitosis per il controllo degli accessi al repository. Ecco un ottimo post server predefinito sull'impostazione dei permessi per un Git condiviso.