Credentials 等重要資訊加密儲存在 Repo 中安全嗎?
Credentials (密碼 / 憑證等) 重要資訊是否可以加密後儲存於 Repo (程式庫),這類資安問題我會以資安治理與團隊討論。
🔥 覺得開發者應該重視資安嗎?
🔥 認同資安至少符合或參考 OWASP Top 10 嗎?[*]
如果不是,則不用往下繼續看,那已是另個議題。
OWASP Top 10:2021 有項 A04:2021 – Insecure Design,其中有條 CWE-257: Storing Passwords in a Recoverable Format。
將 Credentials 以可還原的加密來儲存屬於此範疇,CWE 將此列為「高可利用的風險」(Likelihood Of Exploit : High)。
有了這層認知後,接續討論必要性及成本,定出團隊一致可接受的規範。
[*] OWASP Top 10 同時為行政院研考會「Web 應用程式安全參考指引」的其一重要參考。