¿Se deben mantener en secreto cosas como los ID de proyecto, los ID de región de la nube, etc. en un proyecto de código abierto?

3

Todos mis proyectos secundarios son de código abierto, solo con la cuenta gratuita de Github.

Me pregunto qué tan consciente de la seguridad debo tener sobre cómo mantener las cosas como:

  • ID de proyectos de Google Cloud Platform
  • Identificar los ID del proyecto Rocket
  • Registro de direcciones de correo electrónico

oculto en mis confirmaciones.

Y si hay algo de qué preocuparse, ¿cuál es la forma más fácil de administrarlos? Si el material estaba solo en javascript, es bastante fácil mantenerlo en un archivo config-secret.json y agregarlo a .gitignore . Pero también estoy usando estos valores en los archivos de script yaml y bash.

    
pregunta dwjohnston 23.09.2018 - 08:02
fuente

2 respuestas

1

Suponiendo que los proveedores de la nube subyacente son seguros (lo que significa que no filtran información de las ID o que otorgan acceso no autorizado para cambiar la configuración del proyecto al que hacen referencia), generalmente no hay un problema real con la identificación de las ID. Revelan el hecho de que existe una relación de servicio, nada más. Por supuesto, el resto del código que interactúa a través de esos ID también revelará que la relación existe.

Sin embargo, confirmar las direcciones de correo electrónico de registro es un problema. Si esas direcciones de correo electrónico se filtran, y hay suficiente información comprometida para reconstruir la forma de los registros, aumenta el riesgo de procesamiento si el remitente de los registros no los firma correctamente con DKIM o similar, y / o si el el destinatario no verifica esa firma antes de actuar sobre ellos. Tenga en cuenta que realmente no puede confiar en los registros de correo electrónico sin verificarlos, independientemente; Debido a que las direcciones de correo electrónico también están sujetas a recibir mensajes no solicitados y no deseados, podría terminar procesando algún correo electrónico de forma incorrecta si no tiene cuidado. La probabilidad de tener que lidiar con eso también aumenta cuando confirma la dirección de correo electrónico en un repositorio público. (Si desea probar su capacidad para manejar adecuadamente los envíos no deseados a esa dirección de correo electrónico, por supuesto. Pero también puede probar eso enviando a esa dirección de correo electrónico desde direcciones de correo electrónico de envío no aprobadas).

Como siempre, la decisión final de hacerlo debe estar firmemente enraizada en su política de seguridad, que se basa necesariamente en sus evaluaciones de amenazas y estrategias de mitigación para esas amenazas. Cualquier persona aquí solo puede expresar sus pensamientos basándose en sus propios entendimientos de los temas involucrados, y nadie aquí tiene idea de cuáles son sus estrategias de mitigación de amenazas, o incluso de lo que deberían basarse en la información que solo usted tiene. Tome decisiones sabias, que casi con certeza no incluyen "aceptar y actuar según la palabra de los miembros de StackExchange al azar sin ningún pensamiento crítico adicional".

    
respondido por el sjcaged 27.09.2018 - 22:49
fuente
0

Supongo que estos archivos de script de Yaml y bash son parte del proyecto de código abierto. ¿Qué tal si escribe un script que reemplazará esos valores, inserte sus cambios en el servidor y luego reemplaza los valores por usted? Puede reemplazar los valores con comentarios que identifiquen qué debe colocarse allí.

    
respondido por el BossmanT 26.09.2018 - 17:11
fuente

Lea otras preguntas en las etiquetas