SSDT:如何保护发布配置文件中包含的密码？

tl;博士版

Windows身份验证是连接到SQL Server实例的首选安全方法,如果可以使用它,则建议将其用于连接.

如果使用SQL身份验证,则发布配置文件中的默认值是不保存密码.对于构建服务器和其他共享配置文件方案,您可能需要接受较低级别的安全性(通过编辑发布配置文件以添加密码,或将其设置为构建配置中的参数)或以其他方式解决此问题(自定义脚本)从某种秘密商店读取它,例如加密值).

长版

Windows身份验证:如果可能的话,使用Windows身份验证,根据需要为需要的用户提供权限.对于持续集成方案,您需要为构建服务器执行的帐户提供适当的权限 - 完整详细信息位于SSDT博客的最新白皮书中.

SQL身份验证:如果查看发布配置文件(打开方式... Xml编辑器),您将看到密码信息实际上并未存储在那里.

如果您选择"保存密码",您将拥有"持久安全信息=真;" 存储在连接字符串中而不是密码本身.

当连接到SSDT中的服务器/数据库并启用"保存密码"时,连接信息将被加密并存储在"HKEY_CURRENT_USER\Software\Microsoft\SSDT\ConnectionStrings"下的注册表中.这必须存在于计算机上才能使用发布配置文件成功发布.

因此,在团队环境中,每个用户都需要至少连接一次,然后发布配置文件才能为他们工作.但是,密码将在用户计算机上安全加密.

对于构建服务器,您的选项更受限制.一种可能性是手动以编译服务器用户身份登录,然后连接到数据库,但这不是很可扩展.为了避免您提到的安全性较低的选项,您需要实现自己的逻辑以安全地保存密码.您可以查看受保护的数据API,该API可用于执行与SSDT类似的操作,但在每台计算机级别上,或使用加密的配置文件.

如果您必须使用SQL身份验证,我认为将密码作为构建配置的一部分传递给发布操作可能是在开发简易性和安全性之间进行权衡的"最佳"方式.至少通过这种方式,您可以限制谁可以在TFS中查看和编辑构建配置,而常规开发人员也不会看到它.