Представляют ли веб-преобразования, опубликованные в рабочей среде, угрозу безопасности

Наш asp mvc публикуется автоматически с помощью развертывания осьминога. Мы используем преобразования веб-конфигурации, и мы всегда получаем дополнительные файлы, специфичные для среды, в папке установки. Например

Web.development.config Web.test.config Web.preprod.config

В развертывании этих файлов есть небольшое преимущество, поскольку мы можем легко сравнивать значения в разных средах при устранении неполадок.

Есть ли риск для безопасности при развертывании разных файлов конфигурации в производственной среде??


security octopus-deploy web-config-transform
person Kye    schedule 21.05.2016    source источник

Ответы (2)


arrow_upward
2
arrow_downward

IIS должен быть настроен на предотвращение загрузки файлов .config по умолчанию, но в зависимости от ваших потребностей в безопасности, возможно, стоит избавиться от них. (например, если кто-то содержит тестовый сервер, он не получит доступ к рабочей среде).

Если вы хотите избавиться от , вы можете написать PostDeploy.ps1 скрипт для удаления Web.*.config

person Robert Wagner    schedule 22.05.2016

arrow_upward
0
arrow_downward

Эти файлы можно удалить с помощью шага сообщества Файловая система — Чистые преобразования конфигурации.

Если вы хотите, чтобы они были доступны для диагностических целей, повторно разверните выпуск, но отключите этот шаг.

person Richardissimo    schedule 07.11.2018