如何评价把 accesid 写在博客里

这小哥已经有安全意识了,把配置文件里面改了 xxx, 还说安全起见.
谁知道代码里面有测试注释,哈哈哈哈哈哈, 也可能是被队友坑了

结论:[测试函数尽量另写,不要和主文件写一起; 测试的配置也不要写明文,要写在 test.yaml 里面]

配置信息不单独管理, 硬编码, 出纰漏是迟早的事情. 之前 b 站上有个 up 主就是这样被人泄漏了服务器信息.

论安全意识，还有很多直接人把账号密码之类配置文件备份传到 Github 公开仓库的……

- 配置信息单独管理
- 线上 access key 不应该轻易获取到，线下只能用测试环境的 key
- 这种项目必须私有部署（内网），如果不是内网的话也需要 IP 限制访问。

access key 写博客只是一个引子，后面暴露了很多安全问题。试想如果是这个人离职后自己抓出来呢？

就不应该写在代码里。

Blog repo 应该 private 而不是 public 。

@skinny 说实话我觉得个人的账号密码泄漏也就泄露了(毕竟很多个人的账户都没啥大服务器 这种级别的泄漏还是第一次见

整套系统的安全性取决于整个链条上最烂的那一环。
你就算搞成 GDPR 的政策，每次访问都用硬件加密。
也防不住把 ID 写进去的码农。
更别说为什么会给码农生产库 ID 这种事了，这还是出了事的，没写出来但是拿着 ID 的码农还不知道有多少。

没准你的隐私就握在外包公司 200 块一天雇的测试手里。

又 TMD 不加钱，又 TMD 得卷，爱谁谁吧。

泄漏是哪篇博客的问题吗？我看是两年前的文章啊

@iosyyy 这种属于组织管理问题，管理层不重视不懂，对管理层的安全培训和责任处罚不到位，你可以换个行业看安全生产原则就理解了。

真的，这么大的事其他地方一点风声没有，这是被限制了吗，掩耳盗铃吗，要知道泄露这么大这么敏感的信息，造成的损失不可估量啊

@iosyyy #7 并不是，正常的环境不应该把人视为安全的，人不应该触碰到这些数据，要假设所有开发者都是坏人。如果密码泄露了就整个没了，那是小作坊。

https://unsafe.sh/go-116043.html

怎么评价？我打赌，类似的事情还会发生。

@skinny #3 现在 GitHub 已经集成了 GitGuardian ，会主动检测代码中的各种 key ，然后提示开发者，这种问题会少一些了。

@IGJacklove 不能确定，而且原文已 404 https://archive.ph/mP3bh
这个泄露需要同时满足 内网+地址+key

@Soar360 #9 还钱没关系，接受了这个工资就得干活干到位，不接受就自己走。 你希望飞机的机组因为工资给的少然后摆烂随便查查就算了嘛？这个是国内的现状。

@SunsetShimmer 就说这个离谱上面图里给外网链接下面给 accessid 绝了

@iosyyy #17 我猜以前没隔绝，所以被人一直订阅着，最近隔离了才爆出来，毕竟数据收集越多越值钱。

结论是别写博客，有个屁用：）

作为网安行业从业者想说：防得住漏洞，但是防不住 xx