IV
риски в том, что вместе с потенциальной утечкой кода утекают параметры конфигурации
Size: a a a
2021 June 25
IV
и ситуации как Сергей описал выше возникают достаточно часто
MS
Ну вот утекает имя бакета. Какие тут риски?
IV
соц инженерия, фишинг, например. ничто не мешает создать новый бакет изменив в названии один символ и попросить админа выполнить aws s3 cp secret.txt s3://mybuckeet
MS
ух
VI
всё-таки database schema name у вас не уникальная на весь амазон, а имя бакета уникальное
MS
а если сделать имя БД уникальным на весь RDS? 🙂
VI
и на дачу к безопаснику на стикере
VI
короче это как вопрос хранить ли хост базы в коде, когда база в приватной сети и с авторизацией
VI
можно конечно хранить, но потенциально кто-то может накосячить
MS
наверное меня риски устраивают
IV
на то это и риски 😉
MS
т.е. сложность использования .env в package.json слегка перевешивает потенциальные описанные проблемы
IV
но очень легко неправильно сконфигурировать s3 бакет и выстрелить самому себе в ногу. ты генерируешь доку в CI?
MS
неа
MS
там версионность нужна
MS
в ци придется писать условие "есть ли дока с такой версией в с3"
MS
что лень
MS
конечно попозже можно, пожалуй
IV
я бью по рукам ребят которые имплементриуют магию в коде:
dest_path = os.environ[‘bucket’]} + “/“ + datetime.now().strftime(…) + “/data.txt”
все необходимые пути должны прийти явно в программу извне:
./process_data s3://bucket/2021/06/01/data.txt
dest_path = os.environ[‘bucket’]} + “/“ + datetime.now().strftime(…) + “/data.txt”
все необходимые пути должны прийти явно в программу извне:
./process_data s3://bucket/2021/06/01/data.txt