【web・セキュリティ】Herokuでのファイル流出の危険性について

お世話になっています。下記質問です。

知りたいこと

Herokuでのファイル流出の危険性はどれほどでしょうか？
防止するにはどうすればよいでしょうか？

今、DjangoでwebサイトをHerokuで公開しようとしているのですが、書いたPythonファイルの中身（コード）が他者に覗かれたりしないのか気になっています。
そこで、ファイル流出について少しググってみたのですが、下記のようなページに行き着きました。

ここでは以下のしくじりについて触れられています。

・公開領域にファイルを置いてしまった
・（テキスト形式で表示されてしまう）バックアップファイルやインクルードファイルをサーバに設置してしまった

Herokuでもこういうことが起きうるのかと思ってさらに調べていたのですが、これ以上詳しく解説されたページは見当たりませんでした。

なんとなく、Herokuには公開領域とか非公開領域とかは無いような気もしますし、そもそもGitでデプロイするのでバックアップファイルも生まれなさそうなのですが、認識に間違いがあればご指摘願います。

以上、よろしくお願いします。

行動規範の内容に同意します

回答1件

ベストアンサー

まず前提ですが、質問の内容の
・heroku を使用することによる流出リスク
と
・参考にしたサイトの流出原因
は全く別物です。

heroku を使用することの流出リスクを考えるのであれば、PaaS をどのようにリスク判断すべきか？という観点で調査する必要があります。

参照すべき情報はこのあたりになります。
Announcing PCI Compliance for Heroku Shield

後者の参考にされているサイトの流出原因はご自身で記述されている通り「しくじり」なので、インフラの仕様を知ることが重要です。インフラの仕様を知ることは、heroku を使用する以外のケースでも必須なので、ちゃんと学習してください。

余談
公開領域とは一般的にDocumentRoot以下のディレクトリを指します。
heroku でも設定で指定できるので、リファレンスを確認してみると良いです。

投稿2018/10/21 04:23

退会済みユーザー

総合スコア0

退会済みユーザー

2018/10/21 14:19

ご回答ありがとうございます。考え方の部分まで教えていただき、大変勉強になりました。 Heroku固有の部分についてもう一度調べてみます。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる