Я собираюсь загрузить приложение, над которым я работал, в Github и сделать его общедоступным. Приложение - это веб-сайт, который находится на Rails. Вопрос в том, насколько безопасен это? Не превращает ли мой код приложения в общественное мнение о возможности взлома?Rails приложение на github - насколько безопасно это?
Исходный код Rails открыт с открытым исходным кодом/public в любом случае, поэтому, если вы имеете в виду кого-то, ищущего «бэкдор» или что-то еще, наверняка это уже было бы сделано?
-
Части пирога
Реальный вопрос загрузки кода в github, является ли это безопасно, делая это ваше приложение. Это скорее вопрос целостности данных, чем «секреты» исходного кода, а как упоминается в комментариях @Andrew Marshall, будет больше зависеть от того, как вы защищаете свои ключи API & другими данными аутентификации, чем это будет связано с минимизацией угрозы компрометации безопасности.
Другая вещь, чтобы помнить это modularity of Rails, с точки зрения зависимости. Настоящее ценность приложения - это его сообщество - люди, которые заботятся о загрузке нового контента на него.
Это означает, что ваша база данных, приложения партнеров, на месте опыта & «маркетинга» стоит гораздо больше, чем голой исходного кода. Конечно, источник важен, но это всего лишь одна часть пирога;)
Вы будете гораздо лучше сосредоточиться на своем стеке (чтобы сделать его расширяемым), актуальность вашего приложения для вашего сообщества и то, как вы способный расширить функциональность с помощью партнерских услуг
Все зависит от того, как вы можете защитить свой сайт. Люди могут видеть все ваши маршруты, поэтому вам нужно защищать ограниченные маршруты с помощью before_action. Если у вас есть какой-то бэкдор, они тоже могут это увидеть, поэтому не имеют. Если вы будете следовать хорошим правилам шифрования паролей и входам, вы должны быть в порядке. Большим файлом, который я оставил бы Github, является config/secrets.yml (как следует из названия). Но в любом случае, большинство людей не собирается спотыкаться или заботиться о чтении вашего кода, если вы не рекламируете ссылку где-нибудь.
Я думаю, что это хорошее упражнение в безопасности. Если вы можете сделать свой исходный код общедоступным и * еще защищать от атак, вы делаете что-то правильно. –
Просто убедитесь, что у вас нет паролей или секретных ключей в вашем репо, хотя этого следует избегать, даже если он не является общедоступным. –