Heroku でホストされている Ruby on Rails でアプリケーションを開発します。
私たちのアプリケーションには、さまざまなサービス (Facebook、Mixpanel など) によって割り当てられたいくつかの異なるアプリ ID/キーがあります。現在、支払いシステムを追加しているため、Stripe を使用する予定です。これで、Stripe アプリ ID も取得できました。
これらのアプリ ID を安全に保管する最善の方法は何ですか? 現在、それらはレール環境変数として保存されています。したがって、すべての従業員がすべてのアプリ ID にアクセスできます。
仮に、あるエンジニアが「ならず者」になった場合、彼らは自分の DNS キャッシュを汚染し、ourwebsite.com を自分が制御するランダムな IP アドレスに一致させる可能性があります。したがって、リクエストはアプリ ID を使用している可能性がありますが、承認していないトランザクションを実行している可能性があります。
これらのさまざまなアプリ ID をすべて安全な方法で保存する良い方法は何ですか? 共同創設者の 1 人がこれらのアプリ ID を持っていれば問題ありませんが、ID が実際に何であるかを必ずしも明らかにすることなく、これらのアプリ ID にアクセスする安全な方法があることが望ましいです。