写回答
-
凭据一旦发生泄露,会给云上资源和用户业务带来很大的安全隐患。本文为您介绍常见的凭据安全使用方案。
常见的凭据类型有AccessKey(简称:AK)、临时安全令牌STS Token,更多信息请参见凭据。
常见的凭据泄露案例
很多开发者直接将AccessKey(简称AK)硬编码在业务代码中,有代码仓库阅读权限的开发者均能获取到AK信息。开发者直接将业务代码上传到开源社区或代码托管服务,导致AK的进一步泄露。有些用户为了能够让自己的客户端直接调用到OpenAPI,将AK写到客户端代码中。攻击者通过反编译客户端代码,获取到AK信息。
开发者的技术文档或者分享材料中包含AK信息。
产品说明文档中包含的样例代码,包含AK信息。
用户无权限控制的接口中返回了凭据信息。
安全使用方案
实现凭据安全使用方案的主要思路:避免研发阶段不必要的凭据传递与硬编码。避免使用阿里云账号AK
由于阿里云账号(主账号)拥有资源的所有权限,其AK一旦泄露风险巨大,强烈不建议使用阿里云账号AK。避免在代码中硬编码凭据
尽量避免在代码中直接编写凭据信息,可以将凭据信息写入到系统环境变量中,代码读入环境变量。以在环境变量中设置AK为例,您需要配置系统环境变
参考文档https://help.aliyun.com/zh/openapi/accesskey-security-solution?spm=a2c4g.11186623.0.0.13e74ea6MpQZiI2024-08-30 09:27:33赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
