Come gestire la chiave di crittografia con un grande team di sviluppo?

1

Se disponiamo di un grande team di sviluppo, diciamo 100, e vorremmo mantenere la nostra chiave di crittografia nascosta agli sviluppatori che non sono direttamente coinvolti nel modulo / algoritmo di crittografia, quali sono le migliori pratiche per mantenere questa chiave segreta come possibile pur continuando a consentire lo sviluppo e il debugging?

    
posta Nick Sinas 20.07.2012 - 19:40
fonte

1 risposta

1

La base Apache ha un modo abbastanza semplice ma efficace per gestirlo. La chiave di crittografia (o codice di firma del codice) risiede in un repository separato accessibile solo da trusted e BuildBot. Quando costruisce i bit che richiedono la chiave, il bot lo controlla, o più correttamente, lo scarica e lo inserisce nella posizione appropriata nella soluzione. Ottieni controllo delle modifiche e sicurezza senza interrompere la moderna pratica di sviluppo.

Tutto ciò detto, vorrei affrontare il problema di fondo di non essere in grado di fobare la chiave di crittografia all'infrastruttura che dev non ha mai visto.

    
risposta data 20.07.2012 - 22:46
fonte

Leggi altre domande sui tag