我们在完全远程的初创公司如何分享秘密

发布于 1 月 29 日

背景：小型全远程软件团队在开发服务（如Grist）时需秘密密钥（如 OpenAI API 密钥），CEO 注册生成密钥后需与 CTO 分享，因远程工作，不通过 Slack 等常规渠道分享秘密密钥。
观点：不要自行开发安全措施，安全和加密领域易出错且后果严重，但可利用已信任的工具来分享秘密。
具体做法：
- 利用 Node.js 及内置的crypto模块，编写小的 JS 脚本（约 72 行，代码在 GitHub）来加密/解密秘密。
- 接收方生成密钥对（genkey），保留私钥并分享公钥，发送方用接收方公钥加密秘密，接收方用私钥解密。
- 对于大输入，先生成临时对称密钥加密，再将对称密钥和加密数据一起发送。
讨论：虽使用了来自好来源的加密代码，但自行编写的代码仍敏感，好在代码量小易理解，此方式感觉足够安全且能让远程团队分享技术秘密，对于非技术秘密 Slack 就可，同时对比了使用 PGP 的困难，指出 GPG 存在可用性问题。

阅读 9