Closed8

vercelにfirebaseのcredentialどう食わせるか問題

terrierscriptterrierscript
terrierscriptterrierscript

  1. 素直にenvに突っ込む -> ⚠️ 同上、envが一杯になる危険性アリ
  2. 一部を限定してenvを突っ込む -> 6割ぐらいにはなるが、デカイことには変わりなさそう
  3. credentialファイルを生で上げる -> ⚠️ 普通に危なそう
  4. credentialを暗号化する -> ちょっと面倒
  5. vercelにgithub連携をせず、ignoreを駆使してリポジトリに含めずvercelにだけアップする -> 出来るけど色々マイナス面多い
  6. 諦めてCloud Runにする -> Cloud Runめんどい・・・Cloud Build遅い・・・
  7. KMSとか使う
  8. すでにfirebaseに連携してるサービスからカスタムトークンを発行してもらう -> https://zenn.dev/terrierscript/articles/2021-02-05-firestore-like-a-service-account
terrierscriptterrierscript

Lambdaの場合はどうしてる?

vercelの問題起因がlambdaであれば、lambda -> GCPのようなことをしたときに同じような困りごとが発生するはずだが、見てると普通にソースとして生で取り込んでる系が多い。

Lambdaのソースが漏れることそうそうないでしょということかもしれない。それは確かに(といいつつリスクレベルでいうとリポジトリアップロードと変わらない気もする・・・)

terrierscriptterrierscript

credentialが漏洩した場合

  • firestoreの場合細かい権限が設定できないので、全部アクセスできてしまう
  • つまり全データを消去される・改ざんされてもおかしくない・・・
このスクラップは2021/02/18にクローズされました