我刚刚创建了一个新的Rails项目,它附带了这个credentials.yml.enc文件。
公开承诺是否安全?
什么David Heinemeier Hansson说here:
这些秘密不应该承受任何形式的测试或开发攻击。
据我所知,你不应该在这里保留该死的秘密凭证,然后公开发表是好的。
它只在生产(和衍生环境,如暴露的测试版)中,秘密实际上需要保密。所以我们可以简单地将这个秘密插入到新的flat.cn.yml.enc文件中。
最后他提到:
注意:我们应该保留Rails.secrets和朋友。 Rails.credentials设置将是一种新的并发方法。所有新应用都会使用它,但我们不需要拧紧现有应用。
希望它会有所帮助。更多信息,请关注this。
credentials.yml.enc为什么不呢?这是加密文件,没有密钥就没有任何信息。
但master.key你必须保密!它可以解密你的文件。