Ну эт классика. Многие вообще вываливают репу в корень сайта и не делают запрещающий локешн на (svn|git).  На нормальный отдел ИБ, где бы сидели спецы и изучали алерты на исходники всего по, которые вываливают в прод, да отдел хакеров, которые постоянно пенетрейтят периметр стока бабла надо. российскому бизнесмену это нафиг не надо. Я только видел иб, которое на каждый инцидент предлагало повесить дополнительную камеру в условном сортире. Но оч интересно бы было посмотреть, у кого все по взрослому сделано...

да не, sha1  вроде

это скрин с постгревого дампа таблицы випов из ростелека, как я понял)

на CI все конфиги nginx проверяются на наличие deny all для ^/\. - это по-взрослому? )))