试图在这里获得一些见解。我应该提交测试环境的凭证吗?例如用于第三方API沙箱环境的API令牌,甚至是测试数据库密码(假设它是某种外部数据库)?
我的安全偏执狂建议我不要提交任何种类的凭证。如果这是一个开源项目,我肯定会那样做。但是,具有受控制的访问权限的私人存储库...只需提交测试凭据,然后让可以访问该存储库的人将其用于本地测试和诸如此类的操作就容易得多。
即使对于私人回购协议,通常也不是一个好主意。存储库中的某些部分可能有多种泄漏方式(例如,笔记本电脑被盗),虽然这很不幸,但是还不如泄漏和攻击者拥有测试环境的凭据那样糟糕。然后,他们可能会在您的网络或服务中站稳脚跟,利用它来提取其他信息,或者给您的公司带来过多的使用或成本。谨慎和良好的安全策略是将攻击者在遭受破坏时所能造成的损害降至最低的可能性。[某些公司选择做的是拥有一台供员工使用的通用外壳服务器,以及一种访问访问服务所需的凭据的方式(例如,从Vault实例中获取凭据),这有助于减少凭据的使用范围。我不能说这种特定方法是否适合您的网络,但是类似的方法可能可以满足您的需求。