使您的 hasura 数据库配置 open-source/public 是不好的做法吗?
Is it bad practice to make to make your hasura database configuration open-source/public?
我正在使用 hasura 构建一个将用于生产的产品。发布包含所有配置和结构的回购协议是否是安全明智的坏做法?基本上所有的数据库迁移和配置。
当然,我不会包含任何密钥或敏感信息。
这样做有风险吗?
问题 100% 是关于安全最佳实践的。我不介意任何人复制或使用代码。
如果不是必须发布配置和结构,我不会这样做。如果您有配置错误,其他人将很容易检查您的配置并利用您的规则。配置可能会很麻烦,如果您犯了错误并将其记录在存储库中,则可能会打开数据库以供攻击。即使您是数据库专家并且已经防范所有威胁,将来也可能会发现可以利用某些配置的新漏洞。
底线。数据库的首要任务是安全和防止丢失。这不会提高安全性,并可能在未来导致问题。以我的拙见,我不会发布您的配置设置。
查看来自 berkeley.edu 的这篇文章以进一步研究:
我正在使用 hasura 构建一个将用于生产的产品。发布包含所有配置和结构的回购协议是否是安全明智的坏做法?基本上所有的数据库迁移和配置。
当然,我不会包含任何密钥或敏感信息。
这样做有风险吗?
问题 100% 是关于安全最佳实践的。我不介意任何人复制或使用代码。
如果不是必须发布配置和结构,我不会这样做。如果您有配置错误,其他人将很容易检查您的配置并利用您的规则。配置可能会很麻烦,如果您犯了错误并将其记录在存储库中,则可能会打开数据库以供攻击。即使您是数据库专家并且已经防范所有威胁,将来也可能会发现可以利用某些配置的新漏洞。
底线。数据库的首要任务是安全和防止丢失。这不会提高安全性,并可能在未来导致问题。以我的拙见,我不会发布您的配置设置。
查看来自 berkeley.edu 的这篇文章以进一步研究: