Quindi sto attualmente lavorando all'API di un'applicazione che servirà molti utenti. Attualmente le uniche informazioni "sensibili" che vengono memorizzate utilizzando l'API sono e-mail e nomi utente. L'applicazione consente agli utenti di formare squadre (che possono essere private). L'API serve richieste provenienti da Slack e anche da un sito Web del cliente. I metadati relativi alle comunicazioni degli utenti su slack sono anche raccolti dall'API.
Supponendo che nessun codice sia esposto nella base di codici, sarebbe ok mantenere il repository pubblico?
Gli argomenti principali per renderlo pubblico sono:
- Mantieni il progetto open source.
- Può essere una risorsa di apprendimento GraphQL utile.
- Accesso agli strumenti del flusso di lavoro gratuiti solo per progetti open source.
- Ottieni assistenza della comunità per trovare e applicare patch agli exploit.
Gli argomenti principali per renderlo pubblico sono:
- Se c'è qualcosa che ci è mancato o dimenticato di proteggerlo, potrebbe essere sfruttato.
- Le persone potrebbero capire come funziona internamente e magari provare a fare confusione con cose che non sono ancora completamente convalidate.
- Se siamo sempre negligenti e commettiamo accidentalmente qualcosa di sub-par che potrebbe creare problemi.
Qual è l'approccio migliore qui? Grazie per l'aiuto.