作者ripple0129 (perry tsai)
看板Soft_Job
標題Re: [討論] 寫程式要人帶嗎?
時間Fri Jun 21 01:33:45 2019
講個例子好了
以前有個senior帶junior寫設定檔
機敏資料寫在config檔內
然後上了git
看到這個我當然是糾正說不能這樣搞啊
程式能運作是能運作
但安全性完全沒有考慮到
如果沒有遇到人糾正
這種細節的部分可能還認為是對的
所以說程式能運作是基本
而一些細節的部分
可能網路沒讀到
沒人提醒就容易等吃虧了才記住
至於說一定要人帶嗎
我是覺得還好
平常一直大量涉略資訊的人
多數的雷都能避開
像上面講的例子有讀過bilibili事件
自然原本的做法就會改變了
所以學習別人失敗的經驗是很重要的
能重新審視自身的不足
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.9.37.20 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1561052027.A.FCA.html
1F:推 longlongint: 下一集 config 沒上 git, 沒備份硬碟掛點老闆催06/21 09:02
2F:→ longlongint: 然後 senior 已離職一年未交接 config06/21 09:02
3F:→ longlongint: 當然是上git然後鎖權限阿 或找其他備份軟體06/21 09:04
4F:推 shter: 我覺得是公開或鎖權限的 git 在這個問題上差很多06/21 09:31
5F:→ shter: 以前架 gitlab 鎖RW權限只有開發團隊成員可以操作跟看時06/21 09:32
6F:→ shter: 資料庫通訊帳密那些 config 檔都是要一起上傳的06/21 09:33
7F:→ shter: 可是放 github 或公開時就要 .gitignore + sample file06/21 09:42
機敏資訊不應該上git
該由環境變數拆分
開發人員不該知道機敏資訊
本來就應該隔離開的
不隔離開就變成所有開發的人都握有機敏資訊
bilibili的事件不在於是不是鎖權限
而是開發人員不該拿到production密碼
※ 編輯: ripple0129 (1.171.202.245 臺灣), 06/21/2019 10:03:35
8F:推 del680202: 原po剛出社會?06/21 10:06
9F:推 ethan86116: ripple大,樓上是說原文吧XDDD06/21 11:09
10F:→ dreamnook: 交接時我機密資料上private git repo後將帳密轉交06/21 11:30
11F:→ dreamnook: 文件雖然沒少寫 但聽說我離開沒多久文件硬碟壞了… 06/21 11:30
12F:→ dreamnook: 變成有好長一段時間交接的人都上git查資料lol 06/21 11:30
※ 編輯: ripple0129 (101.9.37.20 臺灣), 06/21/2019 12:00:26
13F:→ shooter555: 還真不知道config不能上git 不過內部gitlab還好吧? 06/21 16:25
14F:推 Masakiad: 內外部都一樣,config應屬於env與deployment 的一部分, 06/21 16:35
15F:→ Masakiad: 而不是application 的一部分。 06/21 16:35
16F:→ champion0922: 這是小公司文分享吧? 06/21 17:54
17F:推 yamakazi: 要看多機敏 而且應該用SHA之類的加密 就算不上git存在lo 06/21 21:00
18F:→ yamakazi: cal也不該用明碼儲存 06/21 21:00
19F:推 sharku: 推這篇 果然一堆人看不懂文意 06/22 10:14
20F:→ longlongint: 羨慕樓上 我多花時間做主管不要的東西 會被當成在盧 06/23 11:15
21F:→ longlongint: 小小 06/23 11:15
22F:推 Luos: 真的嗎!?config不能上? 06/24 19:40
23F:推 s860134: 應該說 可變的東西要和不可變的東西分開,有機密的東西要 06/27 21:08
24F:→ s860134: 和沒機密的東西分開 06/27 21:08
25F:→ s860134: 這和物件導向的概念是一致的 06/27 21:09
26F:推 ssivart: 原意很棒 但現實 ... 07/10 02:41