2

使用托管在 Heroku 上的 Ruby on Rails 开发应用程序。

我们的应用程序有多个不同的应用程序 ID/密钥,由许多不同的服务(Facebook、Mixpanel 等)分配。我们现在正在添加一个支付系统,因此我们计划使用 Stripe。我们现在也有了一个 Stripe 应用 ID。

安全存储这些应用 ID 的最佳方式是什么?目前它们只是存储为 rails 环境变量。因此,所有员工都可以访问我们所有的应用程序 ID。

假设某个工程师变得“流氓”......然后他们可以毒害自己的 DNS 缓存并将 ourwebsite.com 匹配到他们控制的某个随机 IP 地址。因此,请求可能正在使用我们的应用 ID,但正在运行我们尚未确定的事务。

以安全/安全的方式存储所有这些不同的应用程序 ID 的好方法是什么?如果我们的一位联合创始人拥有这些应用程序 ID,我们很好,但最好应该有一种安全的方式来访问这些应用程序 ID,而不必透露这些 ID 的实际含义。

4

2 回答 2

1

这是一个无法通过技术解决的问题,而是通过合同解决的。开发人员总是比执行团队更了解和更密切地接触项目,除非您有义务担心它(即遵守 PCI 或政府安全要求),否则您不应该担心。

于 2012-07-31T02:34:33.940 回答
-1

我不使用 Heroku,但做了类似于他们在这里描述的事情:https ://devcenter.heroku.com/articles/config-vars

tl; dr:将您的 ID 放入环境变量中

于 2012-07-31T02:29:18.137 回答