开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

将密钥放在heroku配置中安全吗

将密钥放在Heroku配置中并不安全。

Heroku是一种云计算平台，它允许开发者部署、管理和扩展应用程序。然而，将密钥放在Heroku的配置中存在一些安全风险，因为这些配置可以在应用程序代码中被访问到。

首先，将密钥存储在配置中可能会导致泄露。应用程序的代码可能被恶意用户或黑客访问，他们可以查看代码并获取敏感的密钥信息。一旦密钥泄露，攻击者可能利用该密钥进行未经授权的访问或恶意操作。

其次，密钥泄露后，如果需要更改密钥，需要修改Heroku配置，并重新部署应用程序。这可能会导致停机时间和服务中断，并且在大规模应用程序中更为复杂。因此，为了安全起见，不建议将密钥直接存储在Heroku的配置中。

为了解决这个问题，可以考虑使用以下安全措施：

环境变量：将密钥存储在应用程序的环境变量中，而不是直接存储在代码或配置文件中。这样，密钥将不会在代码库中被公开，而是在运行时从环境中读取。
密钥管理服务：使用专门的密钥管理服务，如腾讯云的密钥管理系统（KMS），来安全存储和管理密钥。这些服务提供了加密和访问控制等功能，帮助保护密钥免受未经授权的访问。
访问控制和权限管理：限制对密钥的访问权限，并使用最小权限原则。只授权需要访问密钥的用户或应用程序，以减少潜在的安全风险。

综上所述，将密钥放在Heroku配置中并不安全。建议采取适当的安全措施来保护密钥，并遵循最佳实践来保障应用程序的安全性。

相关搜索:将控制字符放在字符串中安全吗？可以将组件放在组件中吗？可以将accountkit放在iframe中吗？在代码中公开google shortener api密钥安全吗可以将MS Dynamics放在iframe中吗将盐放在源代码中是不是更安全？可以将cdkDrag放在mat-select中吗？在IBM MobileFirst 7.1中将生成密钥库放在哪里？要使gitbash正常工作，应该将ssh密钥放在哪个目录中将代码放在python配置文件中是否礼貌？将密钥罩配置为另一个密钥罩中的IDP 我们应该将测量单位放在属性名称中吗？将密钥存储在Bouncy Castle密钥库中比将它们存储在加密的共享首选项中更安全吗？在windows中配置theano？‘将.theanorc.txt放在哪里 Visual Studio可以将时间戳放在构建日志中吗？我可以将ASP.NET放在Js文件中吗？在构造调用期间将Java Enum放在静态Map中是否安全？将deploy (只读) github密钥存储在私有存储库中是否安全我可以将KeySelector中的引用对象列表放在GroupBy中吗？在Laravel 8中可以将组合键放在模型中吗？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

在Heroku中部署一个Sinatra应用程序

我将在之后的帖子中讨论这一部分。请留意生产和开发的环境，Heroku不支持Sqlite。...我们只是需要一个文件来配置我们应用程序的运行方式：在config.ru中你需要以下代码： require '..../main' run Sinatra::Application 通过Git（一种源代码管理系统）可以将应用程序部署到Heroku 。...你可以从命令行初始化一个Git仓库： git init 安装Heroku Gem 你还需要Heroku Gem： gem install heroku SSH密钥你还需要创建SSH密钥，这里为此提供了一些帮助...通过下面的操作将你的密钥连接到Heroku，这会用于与你在Heroku的计算机之间进行安全通信： heroku keys:add 系统会要求你添加你所创建的Heroku帐户的凭据。

2.6K6 0

部署一个Sinatra应用程序到Heroku

假设您认为本地的应用程序没有问题了，接下来要做的是确保您有下边这些文件： Gemfile config.ru 我在上面的帖子中描述的Gemfile包含在应用程序中使用的所有Ruby gems的引用： source...所以我将在稍后的帖子中讨论其他知识。像记录生产环境和开发环境的集群。和Heroku不支持Sqlite。 Sinatra是一个构建应用程序的工具，但Heroku不是。...可以用命令行初始化一个Git仓库： git init 安装Heroku Gem 您还需要安装Heroku gem： gem install heroku SSH密钥您需要去生成SSH密钥。...下面您可以在这里学习怎么生成SSH密钥当您在命令行环境下，您需要将您的密钥添加到Heroku，以便于在您的电脑和Heroku的计算机之间安全地进行通信： heroku keys:add 系统会要求您添加您创建...Heroku帐户的凭据。

5.1K11 0

部署一个Sinatra应用程序到Heroku

假设您对本地应用程序感到满意，接下来要做的是确保您有一些文件： Gemfile config.ru 我在上面的帖子中描述的Gemfile包含对应用程序中使用的所有Ruby gems的引用： gem 'sinatra...我将在稍后的帖子中讨论这些。记下生产和发展群组。Heroku并不支持Sqlite。 Sinatra是一个Rack应用程序，但Heroku与这些没有任何障碍。...你可以从命令行初始化一个Git仓库： git init 安装Heroku Gem 你还需要Heroku gem： gem install heroku SSH密钥您将需要创建SSH密钥。...可以在这里学习如何做到这一点当在命令行中时，需要将您的密钥连接到Heroku，以便在Heroku的计算机之间进行安全通信： heroku keys:add 系统会要求您添加您创建Heroku帐户的凭据...创建Heroku应用程序回到命令行上： heroku create nameofapp nameofapp的位置是根据你想要你的应用程序取什么名决定的，铭记Heroku将用这样的网址创建你的应用程序

2.7K6 0

GitHub：OAuth 令牌被盗，数十个组织数据被窃

GitHub首席安全官 (CSO) Mike Hanley 透露，这些集成商维护的应用程序会被 GitHub 用户使用，也包括 GitHub 本身。...– Preview （ID：313468） Heroku Dashboard – Classic （ID：363831） Travis CI （ID：9216）根据描述，GitHub 安全部门于...4 月 12 日发现攻击者使用泄露的 AWS API 密钥，对 GitHub 的 npm 生产基础设施进行未经授权的访问。...这些API密钥可能就是攻击者使用窃取的 OAuth 令牌下载多个私有 npm 存储库后获得。...虽然攻击者能够从受感染的存储库中窃取数据，但 GitHub 认为，npm 使用与 GitHub 完全独立的基础设施， GitHub没有任何包被修改，也没有在攻击中出现访问用户帐户数据或凭证泄露的情况。

5952 0

使用tko-subs通过已失效的DNS记录检测和接管子域名

指定我们自己的CMS提供商，并通过providers-data.csv文件检查其安全性。在该文件中，需提供CMS改昵称、CNAME值以及需要查询的字符串信息。...工具要求&安装首先，我们需要在本地设备上安装并配置好Go环境。...的用户名和API密钥 Heroku应用程序名称【点击阅读原文】下面给出的是该工具所需构建的Go包： go get github.com/bgentry/heroku-go go get github.com...threads：默认设置为5 因此，我们可以直接不带参数运行tko-subs，则tko-subs会按照上述默认配置运行。...如果检测到了存在安全问题的域名服务器，则Provider和CNAME留空。

1.3K2 0

在 10 分钟内实现安全的 React + Docker

另外，你还可以通过配置网络服务器来发送安全标头，这样使你的程序更安全。...将客户端 ID 复制并粘贴到应用程序的 src/App.js 中。的值可以在 Okta 仪表板的 API > Authorization Servers 下找到。...创建Dockerfile和Nginx配置在你的根目录中创建一个 Dockerfile。...把将你的 React App 部署到 Heroku 你的应用要直到正式投入生产时才会真正的存在，所以让我们把它部署到 Heroku。首先我将向你展示怎样不用 Docker 做到这一点。...在带有安全标头的根目录中创建一个 static.json 文件，并把所有 HTTP 请求重定向到 HTTPS。

20K3 0

放弃“免费套餐”，Heroku的遗产又少了一个

今年 4 月，Heroku 还曾发生一起严重的安全事故，社区反应激烈，当时一名攻击者获取了 Heroku 的主数据库（在我们那个时代称为 core-db）的访问权，并泄露了它的内容，包括哈希密码和用于...Heroku 的人气一直都归功于其简洁、优雅和可用性的优势，它率先将重心放在了开发人员的体验上，致力于让部署像开发流程那样无缝流畅。...卖给 Salesforce 算是一种成功吗？之前有人在 Twitter 上提出了一个不那么简单的问题：“Heroku 是成功还是失败？” 对此问题，答案分成了两派，正反双方都有很多人参与。...Heroku 使这一问题得到了极大的简化，它使开发者集中精力在构建软件上，而非在配置和运行基础设施上。在当今世界，这显然是一种有利条件，但在那时并非如此。...出口规则的 VPC、带有备选基本镜像或架构的可配置主机。

4.8K4 0

10万 npm 用户账号信息被窃、日志中保存明文密码，GitHub安全问题何时休？

同时，这也显示了在将 JavaScript 包注册中心整合到 GitHub 的日志系统后，GitHub 在内部日志中存储了 “npm 注册中心的一些明文用户凭证”。...自官方在 4 月 12 日首次发现这一活动以来，攻击者已经从几十个使用 Heroku 和 Travis-CI 维护的 OAuth 应用程序的组织中访问并窃取数据，其中包括 npm。...5 月 26 日，GitHub 产品安全工程高级总监 Greg Ose 表示，该公司在调查期间发现，攻击者可以获得 npm 的内部数据和客户信息，比如 AWS 访问密钥。...根据北卡罗来纳州立大学的研究，通过对超过 100 万个 GitHub 帐户为期六个月的连续扫描，发现包含用户名、密码、API 令牌、数据库快照、加密密钥和配置文件的文本字符串可通过 GitHub 公开访问...切勿将凭据和敏感数据存储在 GitHub 上 GitHub 的目的是托管代码存储库。除了设置账户权限外，没有其他安全方法可以确保密钥、私人凭据和敏感数据可以一直处于可控和安全的环境中。

1.8K2 0

【安全设计】10种保护Spring Boot应用程序的绝佳方法

自2018年7月24日起，谷歌Chrome浏览器将HTTP站点标记为“不安全”。虽然这在web社区中引起了相当多的争议，但它仍然存在。特洛伊亨特，一位著名的安全研究员，创造了一个为什么没有HTTPS?...如果使用Heroku、Cloud Foundry或其他云提供商，更合理的配置是寻找x - forward - proto头文件。...存储机密安全密码、访问令牌等敏感信息应谨慎处理。您不能将它们放在周围，不能以纯文本形式传递它们，或者如果将它们保存在本地存储中，则不能进行预测。...Vault可以配置为不允许任何人访问所有数据，从而不提供单一的控制点。根密钥库定期使用更改，并且只存储在内存中。有一个主开关，当触发时将密封你的保险库，阻止它分享秘密，如果发生问题。...构建一个简单的CRUD应用程序使用Spring Security和Thymeleaf将基于角色的访问控制添加到您的应用程序中安全性和API之旅准备在Heroku上生产一个Spring Boot应用程序

3.7K3 0

关于“Python”的核心知识点整理大全64

20.2.15 确保项目的安全当前，我们部署的项目存在一个严重的安全问题：settings.py包含设置DEBUG=True，它在发生错误时显示调试信息。...这些模板必须放在根模板目录中。 1....在本地查看错误页面在将项目推送到Heroku之前，如果你要在本地查看错误页面是什么样的，首先需要在本地设置中设置Debug=False，以禁止显示默认的Django调试页面。...查看错误页面后，将DEBUG重新设置为True，以方便你进一步开发“学习笔记”。（在settings.py 中用于Heroku部署的部分中，确保DEBUG依然被设置为False）。...然后，使用命令git commit -am "commit message"将修改提交到仓库，再使用命令git push heroku master将修改推送到Heroku。

981 0

主流 PaaS 平台架构：谷歌GAE、AEB、Cloud Foundry、Heroku

AppEngine Memcache 在架构中是一个内存共享实例，充当缓存使用，我们可以将身份验证、会话信息等存放在这里来提升 Web 服务器性能。...Version 存放在分布式对象存储区中。...在亚马逊云边界的最外端有一个功能强大的DNS 服务器，它会接收用户的域名查询工作，并将后端配置在负载均衡上的正常的服务 IP 返回给用户，在这里它提供了安全可靠的路由功能。...Heroku 打破了日志输出的传统观点，我们一般认为日志是非常重要、不可缺失的，日志以文件的形式存放在本地磁盘中，并且有开头、结尾，重视日志文件中每一行内容在时间排序上的关联性。...而 Heroku 将日志看作一条一条的流式信息，它将这些输出发送到远端，集中管理、预警。一个 PaaS 平台会提供大量的后端服务组件，包括持久化数据库、邮件 SMTP 服务、消息队列、缓存等。

6.4K2 0

Django应用上线前有哪些注意事项？如何使用同步或异步容器启动Django应用？

TransactionTestCase：继承自该类的测试用例运行时会直接将数据写到数据表，在运行完测试用例之后，会清理掉所有的表数据。用例运行过程中可以通过Transaction的提交、回滚。...1、配置生产环境配置 (settings)：DEBUG & Secret 相关信息必须要调整的关键配置： DEBUG：在生产环境中设置为 False（DEBUG = False）；避免在 web 页面上显示敏感的调试跟踪和变量信息...2、选择 Django App 的托管环境 (IaaS/PaaS，比如阿里云 / AWS/Azure/GAE/Heroku 等等) 密钥的存储和管理：从配置文件中读取，或者从环境变量中读取（明文）：...os.environ.get('DJANGO_SECRET_KEY', 'xxxxxx') ALLOWED_HOSTS = ["127.0.0.1", "recruit.ihopeit.com", ] 从KMS系统中读取配置的密钥...生产环境中将提供静态资源服务的功能放在前端的Web服务器上去的，比如Nginx Tengine或者是Apache上，再对于其它的动态请求做URL路由分发转发到后端的容器服务。

1.5K2 0

关于“Python”的核心知识点整理大全62

注意在Windows系统中，有些必不可少的包可能无法安装，因此如果在你尝试安装有些这样的包时出现错误消息，也不用担心。重要的是让Heroku在部署中安装这些包，下一节就将这样做。...在2处，我们导入了dj_database_url，用于在Heroku上配置服务器。...20.2.9 创建用于存储静态文件的目录在Heroku上，Django搜集所有的静态文件，并将它们放在一个地方，以便能够高效地管理它们。我们将创建一个用于存储这些静态文件的目录。...local时，将安装Heroku Toolbelt中的很多包。...但这不会影响你将项目部署到Heroku。.

1571 0

容器是未来吗？

-不, 你还是需要虚拟化，因为容器并没有提供完整的安全方案，如果你要以多租户方式运行应用，你还得保证不能脱离沙盒。...好吧，我有点糊涂了，让我梳理一下，有一个东西像虚拟化，称为容器，那么我能在Heroku上用它吗? -是l, Heroku已经支持docker, 但是我告诉你: Heroku已经死了....-是的, 你必须有能运行你容器的东西，这样你可以在亚马逊EC2实例中设置，你将CoreOS放于其中，然后运行Docker后台, 然后你就能部署Docker image到其中了....-就是CAP理论它说你在一致性可用性和分区容错性三者中只能取两个。 OK, 所有数据库都在CAP面前失败了? 那是什么意思？ -意思是这些数据库都是狗屎，如Mongo....就这样吗？ -Yes! 你不感到辉煌吗？我还是要回到 Heroku. 2333333~

2.7K4 0

轻松创建本地 SSL 证书：无需进行任何配置 | 开源日报 No.301

该工具解决的最核心问题是在本地创建开发证书，而无需进行任何配置。...该项目的主要功能、关键特性和核心优势包括：可以创建任意名称的本地开发证书不需要进行任何配置自动在系统根证书存储中创建和安装本地 CA 生成本地可信任的证书可以自定义证书的输出路径和格式支持多个操作系统和浏览器的根证书存储...提供高级选项，如生成客户端认证证书、使用 ECDSA 密钥、生成 PKCS #12 文件等。...提供外部插件支持解决了 Heroku 封禁问题支持多设备 Baileys 框架提供各种游戏：Connect Four、Tic Tac Toe、Number Guessing 等支持不同部署方法：...该项目帮助开发者和服务提供商有效地识别和处理可能导致滥用或垃圾信息的一次性和临时电子邮件地址，增强了服务的安全性和可信度。

1731 0

Subdomain-Takeover子域名接管原理和利用案例

注意事项: Web浏览器隐式地信任放在DNS解析器返回的任何内容上。这种信任意味着当攻击者获得对DNS记录的控制时，绕过所有Web浏览器安全策略（例如，同源策略）。...如果Heroku中不存在应用程序的名称，则将创建应用程序。...此外如果您从未登录过Heroku，系统会要求您提供Heroku帐户电子邮件和密码。请登录然后将本地文件推送到Heroku仓库。...值得注意的是，由于这不是常规虚拟主机设置，因此不一定必须在资源设置中明确定义配置CNAME记录。...WeiyiGeek. 0x04 安全防御建议:在绑定第三方域名解析记录的时候,需要了解其业务解析流程并进行CNAME安全配置，如果不使用第三方页面托管服务将需要取消其解析记录; 0x05 来源参考

6.4K1 0

在 Heroku 上部署 Django 应用

Heroku是一个很棒的平台，它有很多的控件，并且搭建环境相对来说也比较容易。本指南中，我将一步一步指导你在Heroku平台上部署一个简单地Django应用。...Git仓库在部署你的应用到Heroku之前，你需要先将你的代码签入git仓库中。Heroku提供的git仓库信息可以在你的应用设置页中找到。...- Django - Gunicorn (WSGI服务器) - dj-database-url (一个Django配置工具) - dj-static (一个Django静态文件服务器) (venv)$...这个文件应该被放在manage.py（指定的）文件夹中。简单地创建一个ProcFile文件，如下面的一行例子所示。...下面这个例子显示地是配置仅有一个简单远程服务器的例子，它的简称是origin。（假设）你可能已经配置过很多的远程服务器。

1.6K1 0

Subdomain-Takeover子域名接管原理和利用案例

注意事项: Web浏览器隐式地信任放在DNS解析器返回的任何内容上。这种信任意味着当攻击者获得对DNS记录的控制时，绕过所有Web浏览器安全策略（例如，同源策略）。...如果Heroku中不存在应用程序的名称，则将创建应用程序。...此外如果您从未登录过Heroku，系统会要求您提供Heroku帐户电子邮件和密码。请登录然后将本地文件推送到Heroku仓库。...值得注意的是，由于这不是常规虚拟主机设置，因此不一定必须在资源设置中明确定义配置CNAME记录。...CNAME安全配置，如果不使用第三方页面托管服务将需要取消其解析记录; ---- 0x05 来源参考 https://devi1ex.com/2018/12/14/subdomain-takeover/

3.8K2 0

在GitLab CI CD上使用SSH密钥

SSH密钥在以下情况下很有用：您想签出内部子模块您想使用包管理器（例如Bundler）下载私有包您想要将应用程序部署到自己的服务器上，例如Heroku 您要执行从构建环境到远程服务器的SSH...支持最广泛的方法是通过扩展.gitlab-ci.yml，将SSH密钥注入到构建环境中，并且该解决方案可与任何类型的执行程序（Docker，shell等）一起使用。...将公共密钥复制到您想要访问的服务器上（通常在中 ~/.ssh/authorized_keys），或者在访问私有GitLab存储库时将其添加为部署密钥。...验证SSH主机密钥最好检查私有服务器自己的公用密钥，以确保您不会受到中间人攻击的攻击。万一发生任何可疑事件，您将注意到它，因为作业将失败（如果公钥不匹配，则SSH连接将失败）。...想要破解吗？只需对其进行分叉，提交并推送您的更改。稍后，公共跑步者将选择更改并开始工作。

2.6K1 0

10分钟拥有自己的Wikipedia

但是没有铁打的员工，总有一天我要展翅高飞离开，那么如何将记录的与公司无关的宝贵知识和经验搬运出来？放在txt文件容易误删，放在Google doc里格式不对又无法搜索。这可让我伤透了脑筋。...MediaWiki有700多个配置设置和超过1800个扩展，可以使各种特性被添加或更改。...什么东西应该放在Wiki上? 什么东西都可以。我一开始的时候是遵从在公司的原则，只放技术类的(e.g. Linux Command备忘)，后来发现写blog也不错，就开始在上边写blog。...先从https://www.mediawiki.org下载MediaWiki zip包并解压缩到你的电脑上； (optional)注册Heroku账号，使用免费版的host；将Heroku git指向解压缩的...具体步骤如下：注册并登录bitnami(https://app.bitnamihosting.com)和AWS(https://aws.amazon.com)；在AWS Console中，添加一个IAM

4.1K6 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭