我正在一个单独的项目中工作,并已将我的连接字符串和几个API密钥添加到私有github存储库中。
我认为这是私人的,因此必须安全,但我不知道这是否是一种好习惯?最近,我创建了环境变量,并将配置保留在本地PC上。但是,它仍然存在于Git历史中。
我应该为删除此内容而烦恼还是我只是偏执?
确保您没有在源代码中存储密钥是很有意义的。是否偏执完全取决于您。像所有安全性问题一样,它归结为一个风险问题,您可以通过有人拿到钥匙的可能性以及有人拿到钥匙的影响来衡量风险。
首先考虑可能性,这将要求您与某人共享存储库。鉴于这是一个私有的GitHub回购,实际上您正在研究三个选项:1.您是合作者2.您将回购公开3.您转让回购的所有权
现在考虑影响,关键是什么?有权访问密钥的人可以做什么?这对您来说是一笔经济损失,即他们可以为您查询收费服务。或数据丢失,他们可以从服务中获取属于您的信息?
考虑了您需要确定的可能性和影响之后,您确定吗?对于大多数人来说,如果可能性很小并且影响很小,那么他们会接受的。如果可能性很高并且影响很大,那么他们就不会同意。取决于个人选择的灰色区域是中间位置。
如您所见,我们(StackOverflow社区)无法告诉您您是否偏执或有实际问题。但是,我希望以上信息可以帮助您自己做出明智的决定。
如果您确定要对此做某事,则有两个选择:
这将意味着某人从您的git历史记录中获取密钥的可能性大大降低。
这将意味着某人获取密钥的影响实际上为零。