Вот у нас щас есть енв файлик который лежит на сервак. А попадает он туда через деплой генерируется из сикретов гитхаба. Хотим уйти от файла на серваке. Как можно записать variables что бы их могло считывать приложение не держа файл на серваке или не прописывая их в /etc/env....
Говорят что vault очень хорошее решение
который от хашикорп?
А зачем так? Чем плох файлик на хосте?
девелоперы могут его спокойно получить, хакер может в теории его стырить.
Понятно. В принципе, считается что если у человека есть доступ к прод серверу, под тем же аккаунтом который ранает сервис - человек уже имеет доступ такой же как сервис. Если пароли получаются из волта - человек точно также их из волта получит. Или вообще из памяти считает. Так что убирание паролей из файлов - мне кажется не стоит усилий
Кхм. Потом эти пароли всплывают на гитхабе
у девелоперов есть доступ в прод?
Это вопрос модели угроз. Убирание паролей из файликов - это, в частности, защита от кражи бекапов
Обсуждают сегодня