假设我们为每位客户生成自签名证书。它们在包/部署管道的某些部分中使用,最终在客户的本地计算机上。他们习惯于连接我们的网络服务。
我们应该将这些证书提交给源代码管理吗?存储库是私有的,只有同事可以访问。我是否应该出于某些安全原因将它们遗漏(即使这只是在意外暴露的情况下限制访问,更不用说恶意活动了)?
如果我们将它们排除在外,我们是否应该每次都将它们作为包/部署管道的一部分生成?或者将它们粘贴在一些安全的密钥库中并检索它们?
答案 0 :(得分:1)
这是一种信任和曝光的情况。您信任那些有权访问存储库的人吗?请记住,大多数妥协来自内部人员。
我的想法是: