Security 版本控制中的paypal密钥

在VCS中存储用于加密/签署paypal交易的密钥（

app\u cert.pem

，

app\u key.pem

，

paypal.pem

）的安全含义是什么？我认为拥有证书和我的数据库主键的人可以将购买标记为已付款。这是可能发生的最糟糕的情况，对吗？

最大的危险在于谁有权访问源代码管理。如果已经允许有权访问源代码管理的开发人员访问密钥，那么只要源代码管理被锁定，只有授权用户才有权访问，就不会有额外的风险

如果您允许对存储库进行匿名读取访问，则其他人可以获取您的密钥，这可能对专用攻击者有所帮助。也许他们会知道如何用它做一些我们想不到的事情

永远不要低估那些有技能、没有顾忌、有轻松发薪动机的人的聪明才智。

就我个人而言，我不会把它们放在源代码控制中。我会保护它们，就好像它们是我自己的SSN和银行信息一样

---

即使你的回购现在被严格锁定，你也不知道未来会发生什么变化。例如，对于一些未来的开发人员来说，开始与外部供应商合作并授予只读访问权限太容易了，他们不会认为自己正在公开这些敏感信息

我认为这更适合security.stackexchange.com。谁能把它挪动一下吗？我不知道。该行业迫切需要安全的开发实践，该网站存在大量与安全相关的问题。回购协议具有私人访问权限（将来也会如此）。但我认为你的想法是正确的：如果它是公开的，而那个恶意的人可以访问它怎么办。我正在努力估计最坏的情况。将其存储在VCS中的替代方法是使用scp并对其设置一些访问权限。这将提供更有限的访问，但会使部署自动化大大复杂化。