देने के बिना मैं अपने रेल के ऐप्स को स्रोत कैसे खोलूं, मेरे पास गिटहब पर होस्ट किए गए कई रेल ऐप्स हैं। वे सभी वर्तमान में निजी हैं, और मैं अक्सर उन्हें अपने गिटहब भंडार से तैनात कर दूंगा। मैं उनमें से कुछ को ओपन सोर्स बनाने में सक्षम होना चाहता हूं, जैसे कि आप http://opensourcerails.com पर पा सकते हैं।ऐप की गुप्त कुंजी और क्रेडेंशियल
मेरा प्रश्न है: मैं इन रहस्यों को सुपर गुप्त प्रमाण-पत्र दिए बिना सार्वजनिक कैसे बना सकता हूं?
उदाहरण के लिए, मैं /config/initializers/cookie_verification_secret.rb में देख सकता हूं और उनमें से लगभग हर किसी के लिए कुकी रहस्य देख सकता हूं। मुझे समझ में नहीं आता कि यह कैसे स्वीकार्य है। क्या ये उपयोगकर्ता इन मूल्यों को अपने तैनाती वातावरण में किसी भी तरह बदल रहे हैं?
कुछ उपयोगकर्ता भी अपने एडब्ल्यूएस गुप्त और कुंजी का पर्दाफाश करते हैं! हालांकि मैं किस बिंदु वे कहते हैं कि मूल्य स्थापित कर रहे हैं पर यकीन नहीं है
ENV['aws-secret']
: दूसरों के बजाय की तरह कुछ करने के लिए अपने एडब्ल्यूएस गुप्त सेट हो जाएगा।
तो, अपने ऐप की सुरक्षा समझौता किए बिना अपने रेल ऐप को खोलने के लिए सर्वोत्तम प्रथाएं क्या हैं।
महान सलाह। साथ ही, यदि आप इतिहास को हटाना नहीं चाहते हैं, और यदि यह संभव है, तो आप ताजा तैनाती के बाद मूल्यों को बदल सकते हैं (और वे .gitignore के माध्यम से छिपाए जाने के बाद), जिससे पुरानी मान बेकार हो जाती है। यह निश्चित रूप से विफलता के लिए कुछ हद तक अतिसंवेदनशील है, यदि आप महत्वपूर्ण मूल्यों में से किसी एक को बदलना भूल जाते हैं, तो आपको हो सकता है। – jefflunt
चूंकि यह उत्तर अभी भी वोट प्राप्त कर रहा है, मुझे लगता है कि मुझे यह अपडेट करना चाहिए कि मैं आज (और क्या करता हूं): https://github.com/bkeepers/dotenv –