Esta es una pregunta interesante con varias facetas que se deben desglosar.
La primera pregunta que hiciste es "¿Qué tan arriesgado es esto?" y la respuesta es "muy". Al exponer esas credenciales en un servicio de terceros que usted no controla ni administra, aumenta el riesgo. Hay muchas formas en que sus credenciales podrían verse expuestas: compromiso de servicio, cuentas de servicio comprometidas, falla de autorización en el servicio, escuchas ilegales de la red (si no se utiliza SSL / TLS para servir el código), otorgando acceso a la persona incorrecta, etc.
Básicamente, considera las credenciales expuestas.
Suena terrible, ¿verdad? Tal vez no ... Ahora tienes que hacer la pregunta "¿Me siento cómodo con ese riesgo?" Si tiene otras mitigaciones en su lugar, entonces podría estar de acuerdo con ello. Si limita (quizás con la inclusión en la lista blanca de IP) desde donde se pueden usar esas credenciales, entonces las credenciales serán menos útiles para robar. El servicio también podría tener un valor extremadamente bajo y no tiene sentido financiero agregar seguridad adicional. Si el costo de recuperarse de un compromiso es de $ 10 y agregar seguridad adicional costaría $ 1,000,000, entonces usted vive con el riesgo. (Dicho esto, si ha comprometido a sus usuarios a protegerlos a ellos o a su información, tiene la obligación ética de tratar de cumplir ese compromiso, independientemente del costo).
Algunos pensamientos adicionales:
"proyectos en los que estoy trabajando para mi empresa": lo está haciendo en nombre de la empresa en la que trabaja, es probable que tengan políticas o prácticas aceptables. Si ese es el caso, deberían tener prioridad sobre lo que te sientas cómodo. El riesgo que está creando afecta a su empresa y su reputación, la empresa puede hacer la llamada final.
Lucas Kauffman sugiere un buen enfoque. No puedo decir si funcionará para usted, pero lo mejor es encontrar una mitigación que funcione para su proceso de implementación y que reduzca el riesgo a un nivel cómodo.