Korzysta z darmowego konta i w firmie były już problemy z wyciekami poprzez repozytoria różnych mniej istotnych kluczy, np. do np. systemów zarządzania reklamami, gdzie ktoś z naszego konta emitował nieodpowiednie treści. Nie udało nam się wywalczyć BrowserStacka i innych przydatnych narzędzi, a co dopiero prywatnego konta na GitHubie, które "niczym się nie różni od publicznego, a tych projektów i tak nikt nie znajdzie", a reakcją na poinformowanie że GitHuba skanują boty było "wyolbrzymiacie, wystarczy bardziej uważać przy commitowaniu". Tak to jest, gdy zarządzają "specjaliści od zarządzania".
Czyli popełniają błędy i się na nich nie uczą. Do tego oszczędzają zawrotne 9$ miesięcznie na każdym programiście.
Możesz mi napisać że mogę iść do innej firmy, na co ja odpowiem że w każdej mnie interesującej jest tak samo, bo korporacje i powiązane z nimi technologie mnie kompletnie nie interesują
Mnie też korporacje nie interesują, zresztą korporacja i Git w jednym zdaniu mi jakoś nie pasuje. :)
poza tym mam doświadczenie głównie w naszych wewnętrznych bibliotekach (np. javascriptowej podobnej do backbone.js, ale niebędącej nim), a nie tym czego używa reszta świata.
Skoro uważasz, że to jest tego warte. Patrząc z zewnątrz nie wygląda to zbyt zdrowo.
Rzeczywistość naprawdę jest inna niż myślisz, np. zdarza się że muszę przy każdym commicie stosować procedurę: usunięcie jakiegoś klucza, commit, dodanie jeszcze raz, bo nie można przenieść go do osobnego pliku wykluczonego z wersjonowania, bo jakiś skrypt (parsujący grepem i sedem kod źródłowy) napisany przez zewnętrzny zespół wymaga żeby był w dokładnie takim, a nie innym miejscu i edycja tego skryptu spowodowałaby "utratę gwarancji" na niego, cokolwiek to znaczy.
A nie możesz całego configa wykluczyć?
To co opisujesz to jest męczarnia po prostu.
Jest bardzo prosty sposób na unikanie błędów - nie pozwalać ludziom ich popełniać. Jeśli programiści nie mają dostępu do produkcji, to jej nie zepsują. Jeśli repozytoria nie są publiczne, to pierwszy lepszy bot nie wyciągnie z nich żadnych haseł. Jeśli programiści nie mają dostępu do kluczy, to nikomu ich nie udostępnią. Jeśli mamy QA, to szanse, że programista wrzuci na produkcję błędny kod maleją... itd. itp.
Jeśli pracujecie w firmach, które takich prostych zasad nie przestrzegają, to faktycznie - ubezpieczajcie się ile wlezie, bo g**no w końcu wpadnie w wentylator i wszyscy będziecie mieli piegi. Tylko tkwiąc w takiej niebezpiecznej pracy nie różnicie się od swoich nierozważnych pracodawców.