我正在制作一个Rails应用程序,并试图理解安全性,因为它涉及到密钥。了解安全和密钥
我的项目使用Rails 5和Devise gem。
我在几个地方看过,你不想把secretts.yml这样的文件放在github上,出于安全原因(我发现了几条提交的道路)。但是,我在生产中使用的密钥是环境变量(虽然我的开发和密钥不是,但可以看到它们)。
我现在想弄明白的是,像secrets.yml这样的文件(我也听说过有关database.yml的一些东西),它已经在github上结束了,只要重要的位(比如密钥)是环境变量,幸运的是Rails在默认情况下似乎已经想到了?或者我应该通过删除这些文件的努力?
正如我在另一条评论中提到的,我的secrets.yml(我相信其他重要文件也是如此),本质上看起来就像我在本评论结尾列出的内容。从我的回答中了解到,似乎我应该是安全的,只要生产secret_key_base是一个环境变量,通常推送像secrets.yml这样的信息就没有问题了。这就是我的秘密。yml看起来像>>> development:secret_key_base:abc123youcanseethiskey test:secret_key_base:123456ghgyoucanseethiskey production:secret_key_base:<%= ENV [“SECRET_KEY_BASE”]%> – mc92
这并不包含实际的生产密钥。开发和测试密钥不是敏感信息。所以不需要担心这个文件,它的目的就是像这样被检入到Git中。 –