Security 有什么理由可以从internet访问开发服务器吗？

这是我脑海中突然出现的一个非常普通的问题。原因是我遇到了一个网站开发服务器，它由于一个错误而泄露了有关数据库连接的敏感信息。起初我很震惊，现在我想知道为什么有人把一个开发服务器放在互联网上，让每个人都可以访问它

对我来说，没有理由这样做

但公司创建子域（dev.example.com）并将开发代码推送到子域，这当然不是偶然的。那么，忽视高安全风险这一事实的原因是什么呢

快速搜索没有找到任何有关这方面的信息。我对关于这个特定主题的任何进一步阅读感兴趣

---

提前感谢

对于开发环境或任何“较低级别”的环境来说，将该问题暴露在公共互联网上是非常常见的。今天，特别是随着越来越多的公司在公共云上工作，并且拥有远程团队成员，让您的开发团队或UAT完成，而不需要设置VPN连接或从您公司的内部网络到云的更快更昂贵的直接连接，这将极为高效。

---

值得一提的是，公开于公共互联网并不意味着在这些环境中不应该有某种隐藏网站细节的HTTP身份验证。您还可以使用具有IP地址白名单的防火墙。这仍然是非常重要的，这样你就不会暴露你的产品，失去可能的竞争优势。这一点也很重要，因为较低级别的环境更容易出错，有关应用程序内部工作的重要细节可能会意外出现。

您确定它是开发服务器吗。这不是预览/UAT服务器？不，我不确定。但是，当调用某个网页时，而不是在做了一些奇特的事情之后，会触发异常。我认为preview/UAT服务器至少应该在上线之前或之后进行测试。（上线后的测试在这里很重要，因为错误是由于配置错误造成的）。我完全同意。当然，UAT应该经过良好的测试。但是为了回答你的问题，我想不出任何东西可以让开发环境暴露于互联网上。不，开发服务器不应该被公共互联网访问。该评论承认，较低级别的环境容易出错，可能会显示系统的交互工作，但仍建议将应用程序公开为“非常高效”。这绝对是不负责任的。@david-我希望不要花一年的时间才看到这种尖刻的回应。很明显，您错过了关于要求身份验证或允许某些IP通过防火墙的部分。在开发环境中，在DEV环境中看到堆栈跟踪是整个过程的标准。如果您的生产环境暴露在internet上，您的想法是需要非常安全，并且需要某种身份验证。无论哪种方式，大多数现代框架都可以快速更改配置设置，以显示堆栈跟踪与自定义错误页面。接触互联网并不意味着可以访问。