处理内部开发数据库凭据的最佳做法是什么?应用程序和开发人员?
目前,我们为每个开发数据库创建单独的用户/密码,并在代码库中提交这些凭据.但我们希望不再在我们的存储库中存储凭据.问题是我们的开发人员和应用程序都需要访问数据库.
>为开发人员提供他们自己的个人帐户是否可以访问所有开发人员数据库是一种好习惯?也许甚至所有开发和生产数据库?
>开发人员是否应在其开发环境中使用自己的个人帐户?或者他们应该使用不同的?
>如果他们应该使用其他帐户,每个开发人员数据库是否都有一组单独的凭据?或者我们应该创建一个帐户来访问开发人员可以在其所有应用程序中使用的所有开发人员数据库
>如果我们应该为每个开发人员数据库使用单独的帐户,那么开发人员在为自己设置新的开发环境时应该如何获得这些凭据?我们发现尝试手动跟踪这些(例如维基)非常容易出错,并且很快就会变得过时.
如果重要,我们使用MySQL(确切地说是Percona).
最佳答案 首先要确保开发,登台和生产环境100%独立.因此,MySQL帐户也应该是分开的.它有助于平滑地进行版本升级,并且更安全.在Percona,我做了十几个恢复案例,开发人员因为生产和开发数据库共享他的帐户而放弃了生产数据库.
说过开发人员应该在开发数据库上有一个读写帐户,staging数据库上的只读帐户和生产中的只读帐户.
为每个开发人员创建帐户,因此他们负责将它们存储在安全的地方.因此,您无需担心如何以安全的方式存储/共享帐户.
显然,密码不应存储在存储库中.在源代码树中保留配置模板:
# cat config.php
<?php
$mysql_user="@@MYSQL_USER@";
$mysql_password="@@MYSQL_PASSWORD@";
$mysql_host="@@MYSQL_HOST@";
$mysql_db="@@MYSQL_DB@";
?>
要确保在升级过程中不会覆盖它,请在.spec文件中说明
%files www
%config(noreplace) %attr(640, root, apache) %{_sysconfdir}/%{project_name}/config.php