Específicamente, ¿cómo se manejan las cosas como los almacenes de claves u otros elementos necesarios para crear o ejecutar una aplicación?
En mi caso, tengo una aplicación Chrome OS que requiere un almacén de claves para compilar y publicar en Chrome Web Store.
Tengo varias ideas, pero realmente quiero saber cómo están manejando este tipo de situaciones los demás.
Recuerde la siguiente regla importante:
Esta regla no es específica del código abierto. Es una buena regla general para todo el código fuente.
Tal vez se esté preguntando: ¿dónde debería almacenar claves secretas, contraseñas, etc.? La respuesta: Almacénelos en un archivo de configuración separado, no en el código fuente. No los incluya en el repositorio de código fuente / sistema de control de versiones.
Se hizo una pregunta similar en enlace
Como este es realmente un problema de integración / implementación, puede considerar usar una función de búsqueda para datos confidenciales.
Al usar palabras clave para identificar sus datos y mantener tablas separadas en desarrollo, organización y producción, aún puede ejecutar pruebas en esta parte del código, mientras protege los detalles confidenciales.
Ejemplos: Java getProperty () o Puppet extlookup ()
Actualización: vea también esta Yaml cifrada extensión Hiera. Hiera es el sucesor (ahora estándar) de extlookup () en Puppet.
Aún necesitarás un lugar donde se puedan descifrar estas claves sin la presencia de un operador, por lo que el Puppet master necesitará conocer esas claves. Debido a que eyaml utiliza cifrado asimétrico, no es necesario compartir claves. Usted hace necesita controles adecuados para acceder al Puppet master, pero eso no es nada nuevo.
Lea otras preguntas en las etiquetas key-management opensource