假设我们为每个客户生成自签名证书。它们在软件包/部署管道的某些部分中使用,并最终出现在客户的本地计算机上。它们用于连接到我们的 Web 服务。
我们应该将这些证书提交到源代码控制吗?该存储库是私有的,只能由同事访问。出于某种安全原因,我应该将其排除在外(即使仅限于在意外曝光或恶意活动的情况下限制访问)吗?
如果我们将它们排除在外,我们应该在每次软件包/部署管道中生成它们吗?还是将它们放入某个安全密钥库并检索它们?
我们应该将这些证书提交到源代码控制吗?该存储库是私有的,只能由同事访问。出于某种安全原因,我应该将其排除在外(即使仅限于在意外曝光或恶意活动的情况下限制访问)吗?
如果我们将它们排除在外,我们应该在每次软件包/部署管道中生成它们吗?还是将它们放入某个安全密钥库并检索它们?