нет)

Серега, ну нормально же общались

нет)

ну на нет и суда нет.

релизы проверяются, там нет лишнего, а develop может включать в себя какие-то полусекретные вещи, которые не попадают в релизы, .dockerignore и прочее их фильтрует)

да уж. и таким путем установленный гит нарушает безопасность машины.

он даёт возможность хакеру получить доступ к репозиторию в случае взлома сервера

.git пару лет назад светили все кто не умел

промежуточно получить много информации о том, кто именно кодит, как часто кодят, какие фичи ещё не вошли в релиз, но их пилят

он даёт возможность хакеру получить доступ к репозиторию в случае взлома сервера

ужасно! выдерните провод из розетки и наденьте шапочку из фольги на голову.

в реальности твой аргумент действительности соответствует, но значение его столь минимально, что пренебрегут все.

ну, я считаю, что на сервере не должно быть ни компилятора, ни гита

при этом, лол, ты топишь за .htaccess

только пакеты, подписанные и проверенные

при этом, лол, ты топишь за .htaccess

шуткой?

.htaccess я не видел в глаза лет 10

тут выше топил за апач, потому что там есть .htaccess

ну так да) но это не для меня аргумент в пользу апача, я попытался посмотреть на мир глазами php-разработчика-новичка

лет 10 назад апач мне был проще всех других серверов потому что там не нужно было ничего менять

Саша, не иди на попятную. просто признай, что ты ни бельмеса не шаришь в том о чем говоришь.

:(

с чего такой странный вывод? у тебя закончились аргументы?

нормальный продакшен - это ты подписываешь релизы и на твоём продакшене вообще ничего кроме этих подписанных релизов крутиться не может

Traefik же, какой опач

и уж никакого git'а тем более

Traefik же, какой опач

Caddy)

у меня? гит не требуется если сервер уже скомпрометирован. повышать привилегии через гит достаточно бесполезно. суида на нем нет, никаких особых привилегий, которых у тебя уже нет он не требует. нужный код в любом современном линуксе ты можешь запустить через perl -e или python с stdin. stdin можно прочитать даже через /dev/net . аргумент про то что гит понижает секьюрити-устойчивость сервера после внедрения не стоит выеденного яйца.

Caddy)

Для пенсионеров)

Дайте мне .git и я переверну вам хостинг

у меня? гит не требуется если сервер уже скомпрометирован. повышать привилегии через гит достаточно бесполезно. суида на нем нет, никаких особых привилегий, которых у тебя уже нет он не требует. нужный код в любом современном линуксе ты можешь запустить через perl -e или python с stdin. stdin можно прочитать даже через /dev/net . аргумент про то что гит понижает секьюрити-устойчивость сервера после внедрения не стоит выеденного яйца.

ну так гит на сервере даёт возможность с этого сервера получить доступ к коммитам, которые не предназначены для сервера, так?

там может быть что-то секретное

ну так гит на сервере даёт возможность с этого сервера получить доступ к коммитам, которые не предназначены для сервера, так?

штооо

там фактически есть секретное

Переписав внутри конфиг возьму другой ремоут

ну, ты клонируешь репозиторию

там есть ветка master, develop

ну, ты клонируешь репозиторию

о да. ведь я никак не клонирую репозиторий без гита.

так я про то и говорю

точно.

у сервера не должно быть доступа к репозиторию

как я об этом не подумал.

Всем спасибо.

божечки ж ты мои.

Разобрался.

Дело было в sudo

а кто-то в гите сикреты хранит еще?

docker-compose тестовый?

у сервера не должно быть доступа к репозиторию

рекомендую чуть-чуть попробовать разобраться как гит стягивает исходники, а потом вернемся к этой животрепещущей, но совершенно бесполезной дискуссии.

ответил не на то, ну да ладно.

рекомендую чуть-чуть попробовать разобраться как гит стягивает исходники, а потом вернемся к этой животрепещущей, но совершенно бесполезной дискуссии.

там человек делает git clone

docker-compose тестовый?

и что там такого?

фактически, он стягивает всё

а, понятно.

а кто-то в гите сикреты хранит еще?

Ты уже идешь к ним?

действительно. гит стягивает исходники через гит клон.

все ветки, в том числе секретные

Bfg9000 спасет отца

Ты уже идешь к ним?

тайд, будем кипятить.

сука, это было бы весело, если бы не было так печально

все ветки, в том числе секретные

а не только тот код, который очищен от всего секретного и готов для продакшена

действительно

стоп стоп

и как же добраться до этих файлов без /usr/bin/git-clone ?

наверное никак

ну, вот ты как-то получаешь рут-доступ на сервер иии?

а как называется стадия очистки кода перед продом?

у тебя там все файлы

ну, вот ты как-то получаешь рут-доступ на сервер иии?

нахуя мне гит, если у меня уже есть рут?

Мне не надо доступа

нахуя мне гит, если у меня уже есть рут?

чтобы получить доступ к проекту?

а не только к 1 сборке последней версии

Достаточно прописать другой ремоут

И ждать

И ждать

и запушить

чтобы получить доступ к проекту?

но если у меня уже есть рут - ты думаешь меня как-то остановит неприсутствие /usr/bin/git-clone?

?

В первый же деплой зальются мои файлы

но если у меня уже есть рут - ты думаешь меня как-то остановит неприсутствие /usr/bin/git-clone?

тебе нужен проект)

а не рут к серверу

исходники

И лiл

тебе нужен проект)

охлол, нет

и ты их на блюдечке получишь

с рутом

если ты сотрудник датацентра, например

сотрудник датацентра взламывающий машину через гит

сотрудник датацентра клонирует диск

и получает весь код репозитория

сука, у меня фейспалмы щас закончатся.

сотрудник датацентра взламывающий машину через гит

есть один фильм, который так начинается

а не только сборку для продакшена

Тиха буть

Матрица называется

Саша, я не пойму за что ты таки топишь.

то за то что бы в гите не лежали секреты (это норм)

Матрица называется

а еще он делает реверт!

то за то чтобы репозиторий проекта был не доступен на чтение с продакшн-серверов (это норм во многих случаях и во многих репозиториях)

а разрабы реверт реверта и мердж фичи!