в docker-compose.yml защищает от дурика (например, работника), имеющего доступ к серверу?
От работника защищает просто не хранить всё прямо внутри исходников. Хранение в docker-compose.yml защищает только от ошибок в самом приложении, либо от ситуации, когда в контейнере с приложением ещё веб-сервер. Но остаётся проблема, что файл доступен на сервере, где запущен контейнер. На котором тоже может быть плохо настроенный веб-сервер, другие дырявые приложения, проблема с доступом и т.д.
А если все приложения, которые могут выходить в сеть, запускать тоже в контейнере? Может быть, объединить их в одну сеть, если нужно.
Кроме контейнеров, всё запретить, порты закрыть
Обсуждают сегодня