Se disponiamo di un grande team di sviluppo, diciamo 100, e vorremmo mantenere la nostra chiave di crittografia nascosta agli sviluppatori che non sono direttamente coinvolti nel modulo / algoritmo di crittografia, quali sono le migliori pratiche per mantenere questa chiave segreta come possibile pur continuando a consentire lo sviluppo e il debugging?
La base Apache ha un modo abbastanza semplice ma efficace per gestirlo. La chiave di crittografia (o codice di firma del codice) risiede in un repository separato accessibile solo da trusted e BuildBot. Quando costruisce i bit che richiedono la chiave, il bot lo controlla, o più correttamente, lo scarica e lo inserisce nella posizione appropriata nella soluzione. Ottieni controllo delle modifiche e sicurezza senza interrompere la moderna pratica di sviluppo.
Tutto ciò detto, vorrei affrontare il problema di fondo di non essere in grado di fobare la chiave di crittografia all'infrastruttura che dev non ha mai visto.
Leggi altre domande sui tag programming-practices encryption