É seguro instalar o TortoiseSVN em servidores de produção?

5

Pequena loja, poucos servidores de produção, nenhum servidor de teste ou desenvolvimento, todos baseados em Win2k3 WEB.

Existe a necessidade de manter os arquivos versionados em uma das máquinas. O TortoiseSVN é seguro contra a capacidade de exploração? Precisa de um reforço extra? Quaisquer problemas de licença conhecidos, incompatibilidades?

    
por Coder 05.04.2012 / 00:48
fonte

3 respostas

4

Se você estiver usando o SVN para implantar coisas, então, por que não? Eu não posso contar a quantidade de vezes capaz de svn mudar para a versão anterior do aplicativo salvou nossos rabos. Ele também abriu os ângulos de deixar as pessoas configurarem o push para a produção sem acesso - eles confirmam, ops executa svn update.

Em termos de segurança, ele não executa nada que deva ser explorado remotamente e, se você tiver problemas de exploração local no servidor, provavelmente precisará repensar sua política de segurança. O maior problema, se forem aplicativos da Web, é que as pastas .svn no Windows poderiam ser lidas dependendo da configuração do servidor. O IIS padrão está bem - ele não passa por extensões desconhecidas. Mas se você está, digamos, executando o tomcat como um servidor web, ele permitirá que as pessoas obtenham seus svn-revprops e potencialmente partes do seu código fonte, sem algum ajuste. Isso é corrigido pelo svn 1.7, pois não há mais pastas .svn em todas as pastas, pois o 1.7 usa um banco de dados sqllite central. Então, se você tornar a pasta raiz maior que a webroot, você é de ouro.

Ou, se isso ajudar você a valer a pena para a implantação na produção, então compreenda algumas ressalvas em torno das estruturas de arquivos.

    
por 05.04.2012 / 01:48
fonte
0

Não é uma boa prática. Cada bit de software aumenta o escopo de vulnerabilidades. Geralmente, você deve ter o mínimo de software possível no seu servidor. Além disso, a menos que você esteja enviando tráfego por meio do HTTP , ele envolve outra porta aberta.

Em termos de licenciamento, você está bem, é código aberto.

Acho que uma abordagem muito melhor seria a versão dos arquivos na máquina de desenvolvimento antes que eles sejam implantados no servidor.

    
por 05.04.2012 / 01:13
fonte
-4

Eu também concordo que isso não é uma boa prática para ter um repositório em um servidor de produção. Então você está indo para a versão dos arquivos na máquina de desenvolvimento e versão dos arquivos no servidor de produção? Se você tem tanto tempo livre para fazer o dobro do trabalho, eles não estão dando trabalho suficiente para o meu amigo. Isto é o que a máquina de desenvolvimento é usada para desenvolver o código, versão do código, rastrear mudanças, mudanças de teste, ..... DEPOIS DA MÁQUINA DE PRODUÇÃO. Tudo na máquina de produção está funcionando código se você usar sua máquina de desenvolvimento corretamente.

    
por 26.01.2015 / 23:00
fonte