Claves hardcodeadas
Closed this issue · 5 comments
El fichero https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/blob/master/dpppt-backend-sdk/dpppt-backend-sdk-ws/src/main/docker/application-local.yml contiene claves privadas hardcodeadas. Supongo que son solo para uso en un entorno de pruebas, pero debería modificarse
Lo mismo ocurre con este fichero https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/blob/master/dpppt-backend-sdk/dpppt-backend-sdk-ws/src/main/resources/generated_private.pem
Creo que sucede lo mismo en otros lugares como: https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/blob/master/dpppt-backend-sdk/dpppt-backend-sdk-ws/src/main/resources/application-local-sedia.yml
Y no sé si hay un endpoint público que quizá no debería incluirse aqui sino que sólo debería aparecer la variable de entorno:
https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/blob/master/dpppt-backend-sdk/dpppt-backend-sdk-ws/src/main/resources/application.yaml
Si, los vi, pero esos ficheros si referencias a localhost en la bbdd.
A ver que nos dicen...
Tiene pinta de ser properties usadas en desarrollo. Imagino que en producción hacen override de esas propiedades con variables de entorno, esperemos 😄 . De todas formas me parece un buen paso que se liberen este tipo de aplicaciones, es un gran paso.
Por supuesto, soy un defensor total de Open source, pero hay que hacerlo con cuidado. Si se hace mal, va a generar el efecto contrario
Hola,
gracias a todos por vuestros comentarios.
- Los .pem. Son efectivamente claves públicas/privadas utilizadas única y exclusivamente en entornos de desarrollo. Aún así, quitaremos para que no den lugar a confusión.
- Los usuarios/contraseñas de acceso a base de datos, etc. también son de entornos de desarrollo. Como bien comenta @cruizba , se sustituyen los valores. Somos defensores de Twelve-Factor App (https://12factor.net/), donde se establece que la configuración debe ser externalizada (https://12factor.net/config) e idealmente en el entorno (variables de entorno).
Lo documentaremos.