¿Se considera una buena práctica almacenar contraseñas en un repositorio privado de Github?

Question

¿Es una buena práctica almacenar contraseñas en un repositorio privado de Github?

[Relacionado a, pero muy diferente de, this question]

Answer 1

me gustaría romper esta pregunta en dos partes:

• ¿Es una buena práctica para almacenar las contraseñas en control de código fuente? No. Las credenciales no están versionadas de la misma manera. Por ejemplo, debería poder cambiar su contraseña sin lanzar una nueva compilación de su software.
• ¿Es una buena práctica almacenar contraseñas en la nube? Eso depende de tu tolerancia de seguridad y confiabilidad. En este caso, estás externalizando ambos a GitHub. Si GitHub pierde sus datos, ¿tiene una copia de seguridad en otro lugar? Si GitHub es pirateado (por ejemplo, su repositorio público se hace público brevemente) o si no destruyen de forma segura las unidades antiguas, ¿cuál es el impacto si una persona no autorizada tiene sus credenciales?

Además, cuando almacene credenciales, cifre y almacene la clave en otro lugar.

Answer 2

ciertamente no es 'buena práctica'.

Si es tolerable depende de sus requisitos de seguridad. Para el tipo de liquidación de SCI, el trabajo que * * no volará.

Para un proyecto de diversión privado, probablemente esté bien. Pero poner contraseñas confidenciales en cualquier lugar de la nube probablemente no sea una buena idea.

Los proyectos que se toman en serio la seguridad generalmente no mantienen las contraseñas de texto plano en sus archivos de seguridad.

Answer 3

No creo que sea una buena práctica almacenar contraseñas en ningún otro lugar que no sea absolutamente necesario. GitHub no me parece que cumple con tales condiciones.