假设我们为每个客户生成一个自签名证书。它们用于包/部署管道的某些部分,并最终出现在客户的本地计算机上。它们用于连接到我们的网络服务。
我们应该将这些证书提交给源代码控制吗?该存储库是私有(private)的,只有同事可以访问。我是否应该出于某种安全原因将它们排除在外(即使这只是在意外暴露的情况下限制访问,更不用说恶意事件了)?
如果我们将它们排除在外,我们是否应该每次都将它们作为打包/部署管道的一部分生成?还是将它们放在某个安全的 keystore 中并检索它们?
最佳答案
这是一种信任和暴露的情况。你相信那些有权访问存储库的人吗?请记住,大多数妥协都来自内部人员。
我的想法是这样的:
关于security - 我应该将自签名证书提交给源代码管理吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25366179/