你们公司是怎么管理数据库账号密码的？

我怀疑你在影射什么
虽然但是，通常都是分开发环境和生产环境的吧，有些还有测试环境，预发布环境，所以无论如何都不会直接在代码里的（

@codehz
数据库访问权限也设置为仅限内网吧？

@estk 最近这次事件漏的不就是内网的 es 数据库吗（
内网不能当作安全屏障，只能阻挡一些自动扫描，真要是从源码漏出去的，基本上都是 APT 的目标了

有没有可能，多数情况，就是纯漏洞被利用了，比如 log4j 之后就不用说了。

@codehz
那家数据库也可以开放外网权限

@estk
后缀就是内网自己建的权威 domain 大概率是某 IDC 提供数据存储的技术支持 就说存储在某 IDC 中 郭家都是自建机房租运营商裸光纤 不走公网传输数据

很多企业就喜欢自建这种短小精悍的权威 domain


公网的权威在 UK
Internet Computer Bureau Ltd (ICB) is the country code top level domain manager and registry operator for the .IO, .AC, and .SH top level domains and is located in the United Kingdom.

@PMR
看域名确实不像外网

放保险柜里

csdn 那个真是心大，直接发博客
archive.ph/mP3bh

vault

简单啊，别让程序员知道就好了。

运维最好也不要知道，最好知道这些核心信息的人不参与日常工作（最好是不懂技术）。

看了一圈居然也没说这事的

根据不同的环境管理不同的配置信息. 生产环境的配置信息单独保存在服务器里, 源代码不保存相关信息.

我们是用的 keyCenter ，程序员只有加密过后的用户名和密钥。项目启动的时候，把加密过后的用户名和密钥从 zk 上拿下来，然后到 key center 解密，加载到内存里。

@hadeng
你这个挺高级。我最多就是放环境变量，只有部署的人有权限知道

开发人员是接触不到正式环境的， 都是写好部署文档，提交给运维部门，由运维部门部署维护的。就算代码里面由密码，最多也是测试环境里面的， 不可能影响正式环境的。

apollo 配置中心或者 nacos 里的

用配置中心，生产的配置普通程序员没有权限

求证一下，csdn 上暴露的与上海公安的是同一事件吗

vault 挺好