2

Heroku でホストされている Ruby on Rails でアプリケーションを開発します。

私たちのアプリケーションには、さまざまなサービス (Facebook、Mixpanel など) によって割り当てられたいくつかの異なるアプリ ID/キーがあります。現在、支払いシステムを追加しているため、Stripe を使用する予定です。これで、Stripe アプリ ID も取得できました。

これらのアプリ ID を安全に保管する最善の方法は何ですか? 現在、それらはレール環境変数として保存されています。したがって、すべての従業員がすべてのアプリ ID にアクセスできます。

仮に、あるエンジニアが「ならず者」になった場合、彼らは自分の DNS キャッシュを汚染し、ourwebsite.com を自分が制御するランダムな IP アドレスに一致させる可能性があります。したがって、リクエストはアプリ ID を使用している可能性がありますが、承認していないトランザクションを実行している可能性があります。

これらのさまざまなアプリ ID をすべて安全な方法で保存する良い方法は何ですか? 共同創設者の 1 人がこれらのアプリ ID を持っていれば問題ありませんが、ID が実際に何であるかを必ずしも明らかにすることなく、これらのアプリ ID にアクセスする安全な方法があることが望ましいです。

4

2 に答える 2

1

これは技術ではなく、契約で解決できる問題です。開発者は常に、エグゼクティブ チームよりもプロジェクトについてよく知っており、より密接にアクセスできます。それについて心配する義務がある場合 (つまり、PCI または政府のセキュリティ要件を順守する必要がある場合) でない限り、開発者はそうすべきではありません。

于 2012-07-31T02:34:33.940 に答える
-1

私は Heroku を使用していませんが、ここで説明していることと同様のことを行いました: https://devcenter.heroku.com/articles/config-vars

tl;dr: ID を環境変数に入れます

于 2012-07-31T02:29:18.137 に答える