如何避免在版本控制中存储密码？

Question

您使用什么策略来避免在版本控制中存储密码？

目前，我将开发/测试/生产密码保存在三个不同的文件中，并在部署期间使用适当的文件。所有这些都致力于版本控制，但我对此并不太满意，因为并非所有开发人员都需要知道这些密码（尤其是外包开发人员，它们只有在项目持续期间才能访问，可能只有一个月）。

在数据库中存储密码不是一个很好的选择：

• 我在 Spring 上下文（Java 应用程序）初始化期间需要大部分数据，并且我不想构建用于连接到单个数据库的脚手架，然后再连接到其余数据库数据库和初始化应用程序的其余部分
• 一些密码仅与部署相关；访问不同服务器、密钥库等的密码；这些是应用程序启动后无法加载的内容，因为它根本不加载它

我正在考虑将部署配置从开发人员计算机移动到专用计算机，该计算机从版本控制中检查代码并运行构建/部署脚本，但我不太确定最好的方法是什么。

我还需要说的是，我不想要最终的安全性：我只是想避免每个开发人员的磁盘上都有密码并使其变得太容易。

所以我想询问您的经验/最佳实践。你怎么做？

Answer 1

特定于环境的配置属性 我倾向于放入不在源代码管理中且不属于构建过程的属性文件。设置新环境时，设置的一部分是创建属性文件，其中包括数据库地址、凭据和名称、相关远程主机的名称等。

在 Spring 中，您使用 PropertyPlaceholderConfigurer 加载属性文件。它只需要能够被 Spring 找到，这通常意味着将它放在应用程序服务器下的适当目录中。

或者，您可以使用 wrapper 来运行应用程序服务器，并且 JVM 启动选项包括添加将这些属性文件添加到类路径中，以便 Spring 可以找到它们。

Answer 2

我见过两种方法：

• 将密码移至开发人员无权访问的另一个源代码控制树中。
• 不要将任何密码放入源代码管理中，并且每次部署完成时，专门的构建经理都需要输入密码。这是在一家银行，有一个全职人员负责构建流程/合并/发布。

Answer 3

这并非在所有情况下都有效，但这就是使用 NT AUTHORITY\NETWORK SERVICE 作为服务身份的荣耀所在。如果您使用此身份，则无需为其维护密码 --您可以仅使用 DOMAINNAME\MACHINENAME$ 形式的计算机 AD 凭据来执行受保护的网络和数据库访问。

当然，有一些关键的事情需要注意——最重要的是，共享安全边界的两个应用程序不能像这样托管在同一台服务器上。

Answer 4

将密码放入操作系统用户环境变量中。

只有该用户或 root 可以读取该值，与文件相同，但将其签入源代码管理的可能性为零。

Answer 5

我认为在存储库之外有一个 local_settings 是很好的。

https://stackoverflow.com/a/21570849/1675586

Answer 6

您可以以加密形式存储它们，而不是不存储它们。因此，您不必在新开发人员开始时一直通过 IM 或电子邮件发送凭据文件。您只需告诉他们一次项目特定的主密码，以便他们可以加密凭据。