Closed

vercelにfirebaseのcredentialどう食わせるか問題

8

  1. 素直にenvに突っ込む -> ⚠️ 同上、envが一杯になる危険性アリ
  2. 一部を限定してenvを突っ込む -> 6割ぐらいにはなるが、デカイことには変わりなさそう
  3. credentialファイルを生で上げる -> ⚠️ 普通に危なそう
  4. credentialを暗号化する -> ちょっと面倒
  5. vercelにgithub連携をせず、ignoreを駆使してリポジトリに含めずvercelにだけアップする -> 出来るけど色々マイナス面多い
  6. 諦めてCloud Runにする -> Cloud Runめんどい・・・Cloud Build遅い・・・
  7. KMSとか使う
  8. すでにfirebaseに連携してるサービスからカスタムトークンを発行してもらう -> https://zenn.dev/terrierscript/articles/2021-02-05-firestore-like-a-service-account

Lambdaの場合はどうしてる?

vercelの問題起因がlambdaであれば、lambda -> GCPのようなことをしたときに同じような困りごとが発生するはずだが、見てると普通にソースとして生で取り込んでる系が多い。

Lambdaのソースが漏れることそうそうないでしょということかもしれない。それは確かに(といいつつリスクレベルでいうとリポジトリアップロードと変わらない気もする・・・)

credentialが漏洩した場合

  • firestoreの場合細かい権限が設定できないので、全部アクセスできてしまう
  • つまり全データを消去される・改ざんされてもおかしくない・・・
このスクラップは11日前にクローズされました
ログインするとコメントできます