我应该避免在私有git存储库中使用密钥吗？

目前，我在一个配置文件中拥有我所有的各种密钥，该配置文件由私有回购协议进行版本控制。代码位于可信端（Github）。我应该避免在git中控制这个配置文件的版本吗

---

如果没有，那么您将如何与开发团队共享此文件

共享私钥总是一种不好的做法。。。作为对您问题的回答，git作为密钥容器没有什么错，它是相当安全的，即使安全性取决于其他因素，例如git主机的安全级别。但是，在另一个开发人员/用户获得密钥后，您无法控制该密钥，因此，是的，作为一种良好的实践，您应该避免这种情况。根据您的情况，您可以选择其他解决方案，例如设置一次性密码生成器。

为什么要与团队其他成员共享密钥？您不能只为每个成员注册一个密钥吗？API密钥、用于序列化和反序列化的秘密值，可能还有数据库凭据等等。我不会为每个贡献者指定具体的值。这也是为了生产代码，请记住，任何在线服务都可能随时遭到黑客攻击。因此，即使是私有存储库也可能暴露给攻击者。关于您的问题：问问自己攻击者会对这些值造成什么样的伤害，以及在不读取您的私有回购协议（例如从应用程序中提取）的情况下获取这些值有多困难。例如，我有google maps的API密钥。我不想让这些信息泄露出去，但我会相信我的开发人员，而且我认为没有一种方法可以在不向开发人员公开一些密钥的情况下创建一个开发环境。请记住，这个文件中没有“特定于开发人员”的密钥，就像个人密钥一样passwords@JonasPraem，您应该具有在开发中使用的开发密钥。任何人（包括您）都不需要在其开发环境中拥有生产密钥。