התלמוד של המפתחהתלמוד של המפתח

מסכת פיתוח מאובטח

מסכת הסיסמאות

2 הלכות

א

הכותב סיסמא בקוד

הכותב סיסמא בקוד — חייב. הכותב סיסמא בקוד ודוחף לגיטהאב — חייב פי שניים. הכותב סיסמא בקוד, דוחף לגיטהאב פובליק, ומוסיף קומנט "TODO: להזיז את זה לאנשהו בטוח" — יצא ידי שניהם, ולא יצא ידי אחד מהם.

מעשה בדוולופר אחד שכתב password = "admin123" ודחף לגיטהאב. תוך שלוש דקות מצא בוט את הסיסמא, נכנס לדאטהבייס, ומחק את כל הטבלאות. יצאה בת קול ואמרה: השתמש במשתני סביבה. לא שמע, כי כבר היה עסוק בשחזור מבקאפ שלא עדכן מאז שנה שעברה. אמר רב אשי: ולמה לא עדכן את הבקאפ? אמרו לו: אמר שיעשה את זה אחר כך. אמר רב אשי: הא קמן — "אחר כך" הוא אם כל חטאין.

ב

הלכת ה-.env

כל סיסמא, כל מפתח, כל טוקן — יישמרו בקובץ .env בלבד. וקובץ .env יירשם ב-.gitignore קודם לכל דבר, אפילו קודם לכתיבת שורת הקוד הראשונה.

ואם שכח לרשום ב-.gitignore — יתחיל את הפרויקט מחדש, כי כבר נגנב הכל. ואם אמר "אני אמחק את ה-commit" — ידע שגיטהאב אינדקס הכל לפני שעשה את ה-push, ומה שנאמר — נאמר.