1
codehz 2022-07-03 19:33:09 +08:00
我怀疑你在影射什么
虽然但是,通常都是分开发环境和生产环境的吧,有些还有测试环境,预发布环境,所以无论如何都不会直接在代码里的( |
3
codehz 2022-07-03 19:59:26 +08:00
@estk 最近这次事件漏的不就是内网的 es 数据库吗(
内网不能当作安全屏障,只能阻挡一些自动扫描,真要是从源码漏出去的,基本上都是 APT 的目标了 |
4
cherryas 2022-07-03 20:08:15 +08:00
有没有可能,多数情况,就是纯漏洞被利用了,比如 log4j 之后就不用说了。
|
6
PMR 2022-07-03 20:26:15 +08:00
@estk
后缀就是内网自己建的权威 domain 大概率是某 IDC 提供数据存储的技术支持 就说存储在某 IDC 中 郭家都是自建机房租运营商裸光纤 不走公网传输数据 很多企业就喜欢自建这种短小精悍的权威 domain 公网的权威在 UK Internet Computer Bureau Ltd (ICB) is the country code top level domain manager and registry operator for the .IO, .AC, and .SH top level domains and is located in the United Kingdom. |
8
LeegoYih 2022-07-03 21:18:51 +08:00
放保险柜里
|
9
jmllx1963 2022-07-03 21:30:35 +08:00
csdn 那个真是心大,直接发博客
archive.ph/mP3bh |
10
Alliot 2022-07-03 21:57:40 +08:00 via Android
vault
|
11
InDom 2022-07-03 22:15:26 +08:00
简单啊,别让程序员知道就好了。
运维最好也不要知道,最好知道这些核心信息的人不参与日常工作(最好是不懂技术)。 |
12
2ndbattalion 2022-07-04 09:12:21 +08:00 via Android
看了一圈居然也没说这事的
|
13
lujiaosama 2022-07-04 09:32:39 +08:00
根据不同的环境管理不同的配置信息. 生产环境的配置信息单独保存在服务器里, 源代码不保存相关信息.
|
14
hadeng 2022-07-04 09:39:01 +08:00 via Android
我们是用的 keyCenter ,程序员只有加密过后的用户名和密钥。项目启动的时候,把加密过后的用户名和密钥从 zk 上拿下来,然后到 key center 解密,加载到内存里。
|
16
jones2000 2022-07-04 11:30:57 +08:00
开发人员是接触不到正式环境的, 都是写好部署文档,提交给运维部门,由运维部门部署维护的。就算代码里面由密码,最多也是测试环境里面的, 不可能影响正式环境的。
|
17
qianhun 2022-07-04 13:07:41 +08:00
apollo 配置中心或者 nacos 里的
|
18
Sahzzz 2022-07-04 18:06:50 +08:00
用配置中心,生产的配置普通程序员没有权限
|
19
d119 2022-07-04 18:34:54 +08:00
求证一下,csdn 上暴露的与上海公安的是同一事件吗
|
20
LightColors 2022-12-02 17:59:41 +08:00
vault 挺好
|
21
estk OP @LightColors #20
这个关键词好,多谢 |