我已经为我的组织注册了 GitHub Teams 免费计划,并且我们正在考虑将我们的代码推送到 GitHub 上的私有存储库。我们的项目由几十年前的遗留代码组成,并且有大量针对各种服务器和数据库的硬编码凭据(不仅在代码中,而且在注释中)。
我不想让我的团队更改所有这些代码以将凭据存储在配置文件中,我不能 100% 确定我们的各种技术堆栈支持这一点。这也将非常耗时,并且不能保证我们能够找到每一个凭证参考。我只是想知道即使我们创建的存储库不是公开的,使用所有这些凭据推送代码是否安全?
将代码存储在 GitHub 上的安全性并不比存储在其他地方低。 例如,GitHub 通常会花费大量精力来保护存储库,并且未经存储库所有者同意,员工不得查看私有存储库的内容。 将此代码推送到 GitHub 本质上不会比将其存储在任何其他服务器上更多地暴露它。
但是,话虽如此,无论您在何处托管该代码,将凭据存储在存储库中都是一个安全问题。 由于服务器配置错误、笔记本电脑被盗或各种其他情况等多种原因,存储库很容易意外泄漏。 如果您将凭证存储在一个安全的地方,您可以在其中找到所有凭证,那么您至少应该花一点精力使用更安全的做法来存储凭证。 例如,当凭证都位于 Vault 这样的工具中时,轮换凭证就会容易得多,并且您可以轻松地在所有系统之间轮换受损的凭证。
所以,一般来说,你所做的事情不是很安全,但是使用或不使用 GitHub 不会改变这一点。
如果您的存储库或分叉已经或将在任何时候公开,在 GitHub 上存储敏感信息可能存在风险,因为其他人可能会以某种方式访问这些信息。
此外,虽然将来可能会发生变化,但即使您稍后从存储库中删除凭据,它们仍然可以访问。
这里有一篇文章提供了有关 GitHub 潜在缺陷的更多详细信息: https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github