Por lo tanto, actualmente estoy trabajando en la API de una aplicación que atenderá a muchos usuarios. Actualmente, la única información "confidencial" que se almacena mediante la API son los correos electrónicos y los nombres de los usuarios. La aplicación permite a los usuarios formar equipos (que pueden ser privados). La API atiende solicitudes provenientes de Slack y también de un sitio web de cliente. La API también recopila los metadatos sobre las comunicaciones de los usuarios con holgura.
Suponiendo que no se expongan secretos en la base de código, ¿sería correcto mantener el repositorio público?
Los principales argumentos para hacerlo público son:
- Mantener el código abierto del proyecto.
- Puede ser un recurso de aprendizaje GraphQL útil.
- Acceso a herramientas de flujo de trabajo que solo son gratuitas para proyectos de código abierto.
- Obtenga ayuda de la comunidad para encontrar y parchar exploits.
Los principales argumentos en contra de hacerlo público son:
- Si hay algo que perdimos u olvidamos para asegurar, podría explotarse.
- La gente descubriría cómo funciona internamente y quizás intente alterar las cosas que aún no están validadas por completo.
- Si alguna vez somos descuidados y cometemos accidentalmente algo por debajo de la media que también podría crear problemas.
¿Cuál es el mejor enfoque aquí? Gracias por cualquier ayuda.