Ci sono queste domande rilevanti:
- Strategia per mantenere le informazioni segrete come le chiavi API fuori dal controllo del codice sorgente
- Come gestisci i file di configurazione nel controllo sorgente?
- Come configurare i file di configurazione del controllo in modo pragmatico?
Ma per quanto posso dire, si occupano del lato opposto del problema. Quindi sì, abbiamo progettato una buona applicazione che non ha segreti memorizzati in esso o nel suo repository. Li estraggono dalle variabili di ambiente o dai file memorizzati nel sistema. Grande, fantastico, sicuro, vero?
Ma per quanto riguarda i nostri segreti ? Da dove vengono? Li archiviamo in un altro repository vcs? Esistono solo in un database crittografato?
Ovviamente vogliamo che gli sviluppatori abbiano i propri set di credenziali - ma avremo bisogno di avere le credenziali per i nostri server test / preprod / prod.
Come manteniamo questi sicuri? Ovviamente li vogliamo accessibili ai sistemi che ne hanno bisogno ...