Безопасно ли открывать код фронтенда?

Question

[lil_web]

Я перевожу сайт на Реакт, хочу иметь этот проект на Гитхабе. Думаю, это поможет мне найти работу и завоевать авторитет сообщества.

Но владелец сайта и техническая дирекция говорит, что небезопасно размещать в публичном репозитории фронтовый код. Также команда боится, что злоумышленники разгадают нашу апишку и создадут миллион похожих сайтов.

Но ведь апишка разгадается через вкладку «Сеть» на панели разработчика в браузере. Главное — защита апишки на стороне бэка. На фронте достаточно убрать ключи в .gitignore.

Команда всё равно против. Расскажите, пожалуйста, какие могут быть проблемы с безопасностью, если опубликовать код фронтенда на Гитхабе.

Comments

[Алекс Глебов]

Думаю, это поможет мне найти работу и завоевать авторитет сообщества.

Это убъет твой авторитет.
Выложить код коммерческого проекта, который тебе не принадлежит, в публичный доступ, как такое в голову может прийти?

[Karpion]

Алекс Глебов, Кому принадлежит код - определяется договором. Если я делаю сайт на CRM - это не значит, что код CRM принадлежит мне, реально он остаётся у авторов.

Answer 1

[Рональд Макдональд]

завоевать авторитет сообщества.

Пхаха.

акже команда боится, что злоумышленники разгадают нашу апишку и создадут миллион похожих сайтов.

Расслабьтесь, всем на него плевать. Я серьёзно.

асскажите, пожалуйста, какие могут быть проблемы с безопасностью, если опубликовать код фронтенда на Гитхабе.

Если фронт кривой и с паролями доступа в самом коде, то, конечно, небезопасно. Если он нормальный и более-менее соблюдает принципы безопасности, то выкладывайте, таких мёртвых репозиториев - половина Гитхаба, ваш будет просто один из них.

Comments

[lil_web]

> Расслабьтесь, всем на него плевать

У нас сайт с уникальной информацией, посещаемость — 500 тысяч в день. Люди не раз нас парсили, а мы подавали на них в суд. Извините, не могу раскрыть название.

[Рональд Макдональд]

lil_web, что мешает людям сверстать такую же фигню по какому-нибудь генератору?

[lil_web]

Рональд Макдональд, ничего. То есть фронт открывать безопасно, если он без паролей?

[Рональд Макдональд]

lil_web, с точки зрения секурности - да.

[lil_web]

Рональд Макдональд, но ведь в используемых библиотеках можно найти уязвимости.

[Рональд Макдональд]

lil_web, это оверхед, не парьтесь. Для этого надо задаться целью взломать именно вас.

[lil_web]

Рональд Макдональд, ну а вдруг зададутся. Это реально?

[Рональд Макдональд]

lil_web, нет.

[lil_web]

Рональд Макдональд, и пути к апишке можно не прятать?

[Рональд Макдональд]

lil_web, если там нет авторизации - прячьте, конечно.

[lil_web]

Рональд Макдональд, что вы имеете в виду под авторизацией? И как прятать пути к апишке, в .env, который игнорируется .gitignore?

[Рональд Макдональд]

lil_web,

то вы имеете в виду под авторизацией?

Иногда доступ по API открывают без пароля и токена. Если у вас с токеном, то выкладывайте.

Answer 2

[Владислав Лысков]

выкладывать коммерческий проект в публичный доступ? ты серёзно?

Comments

[Karpion]

Многие коммерческие фирмы разрабатывают софт и выкладывают его в общий доступ - например, IBM.

[lil_web]

У меня нет договора с командой. Какие могут быть проблемы с безопасностью?

[Владислав Лысков]

lil_web, выкладывай и кидай нам ссылку

Answer 3

[xmoonlight]

Поржал!)))
Фронт+безопасность+команда=страх)))
Там явно всё круто: Думаю, это точно "поможет" найти вам работу и "завоевать" авторитет сообщества.

Нормальный код - безопасен всегда, даже если это и бэк исходника в открытом доступе.

Comments

[Николай Ковалевский]

Все же вопрос в масштабе проекта, "нормальный код" - понятие растяжимое. Даже у гугла нередко находятся дыры в сервисах, а уж его рабочий процесс все же уровнем повыше, чем у мелких стартапов.

Но да, если апишка состоит из пары десятков роутов, а формат запросов более-менее статический, то обезопасить ее не составляет труда.

[xmoonlight]

Николай Ковалевский,

а уж его рабочий процесс все же уровнем повыше, чем у мелких стартапов

Обоснуйте.

[lil_web]

Николай Ковалевский!

> Но да, если апишка состоит из пары десятков роутов, а формат запросов более-менее статический, то обезопасить ее не составляет труда.

Как обезопасить апишку на фронте? И зачем это делать, если есть вкладка «Сеть»?

Answer 4

[sinneren]

А что мешает сделать приватную репу? гитхаб позволяет. Нормальные компании имеют свой акк в битбакете, гитлабе, всё там, всё приватно. Апишка не разгадается если делается на серверной стороне, тут уже что делается с фронтом - ssr или spa

Comments

[Владислав Лысков]

А что мешает сделать приватную репу? гитхаб позволяет.

так не получиться

завоевать авторитет сообщества.

Answer 5

[Karpion]

Как тут уже сказали - хороший код не создаёт проблем при его публикации. Код Linux, FreeBSD, Apache, Samba - открыт, при этом эти системы зачастую безопаснее коммерческих аналогов с закрытым кодом.

Однако, если у Вас контракт на разработку - то право решать, что можно делать с кодом, принадлежит не Вам, а тому, кто оплачивает процесс разработки. И если они против публикации - то смиритесь.

Тем не менее, иметь репозиторий - полезно. Хотя бы приватный.

Comments

[Рональд Макдональд]

при этом эти системы зачастую безопаснее коммерческих аналогов с закрытым кодом.

Пха.

[Karpion]

Рональд Макдональд, Сравниваем Windows, Linux и FreeBSD. Сравниваем IIS, Apache и Nginx.

[lil_web]

У меня нет контракта. Можно сказать: помогаю знакомым.

[Рональд Макдональд]

Karpion,

Сравниваем Windows, Linux и FreeBSD

И если лапчатые хоть что-то могут сказать, то бздуны просто сливают.

[Karpion]

lil_web, Ну, можете опубликовать код без указания места, где он используется. Это хороший баланс между Вашими желаниями славы и опасениями Ваших знакомых о безопасности.

Рональд Макдональд, Я Вас не понял. Пруфы на эпические сливы Linux и FreeBSD есть?

[lil_web]

Karpion!

> Вашими желаниями славы

Но ведь при устройстве на работу тимлиды и разрабы изучают Гитхаб.