RadarCOVID/radar-covid-backend-dp3t-server

Claves hardcodeadas

Closed this issue · 5 comments

Si, los vi, pero esos ficheros si referencias a localhost en la bbdd.
A ver que nos dicen...

Tiene pinta de ser properties usadas en desarrollo. Imagino que en producción hacen override de esas propiedades con variables de entorno, esperemos 😄 . De todas formas me parece un buen paso que se liberen este tipo de aplicaciones, es un gran paso.

Por supuesto, soy un defensor total de Open source, pero hay que hacerlo con cuidado. Si se hace mal, va a generar el efecto contrario

Hola,

gracias a todos por vuestros comentarios.

  1. Los .pem. Son efectivamente claves públicas/privadas utilizadas única y exclusivamente en entornos de desarrollo. Aún así, quitaremos para que no den lugar a confusión.
  2. Los usuarios/contraseñas de acceso a base de datos, etc. también son de entornos de desarrollo. Como bien comenta @cruizba , se sustituyen los valores. Somos defensores de Twelve-Factor App (https://12factor.net/), donde se establece que la configuración debe ser externalizada (https://12factor.net/config) e idealmente en el entorno (variables de entorno).

Lo documentaremos.