本番サーバーに開発ツールをインストールしますか？セキュリティリスク？

@Karraxの正解に加えて、潜在的なハッカーに対する攻撃面の増加、潜在的なエクスプロイト、およびより簡単な攻撃環境に関して、私はすべきであるもう1つの問題を指摘したいと思いました明白であるが、しばしば痛々しいほどではない。

これらは開発ツールです。 productionサーバー上。
私はそれから、開発者が本番サーバーにアクセスできるだけでなく、明らかに その上で開発する意図 であると推測します。
これ自体、それに関連するリスクが山ほどあります。

• 本番データへの不正アクセス
• 最小権限はありません
• 職務分掌なし（SoD）
• おそらく、古い、テスト、および未使用のコードファイルがたくさんあります。
• おそらく、古い、テスト、未使用の構成ファイルがたくさんあります。とともに .bakファイルタイプ。すべてのユーザーがパスワードをダウンロードして盗むことができます。
• 展開前のセキュリティテストなし
• 隠されたバックドアにポップしやすい
• 明らかに、SDL（セキュリティ開発ライフサイクル）はありません
• もっと。

私のポイントは、問題は開発ツールのインストールだけではないということです。そのより大きな問題は、そのような計画を引き起こすプロセスと環境です。そもそも。

はい、環境にインストールするソフトウェアに追加すると、攻撃者があなたとシステムを危険にさらすために使用する可能性のある攻撃面が増加します。

このパッケージのツールには、既知のエクスプロイトや、システムをさらに危険にさらす可能性のある未発見のエクスプロイトを含めることができます。

一般的に、私はそれを開発と生産を可能な限り分離するためのベストプラクティスと言いますが、各ビジネスには独自のリスク/結果とコスト分析なので、多分あなたの特定のケースではそれは許容可能なリスクかもしれません。

あなたのケースでは「開発ツール」をインストールしていることに注意してください！この特定のシステム用に設計された完全に優れたコンパイラー（およびその他のツール）を基本的にシステムに残しているため、これは追加のセキュリティリスクをもたらす可能性があります。多くの場合、これにより、攻撃者が危険にさらされた後、攻撃者がより多くのエクスプロイトコードをコンパイルして実行するのが簡単になります。あなたは妥協しました。

編集： Gillesがコメントしているように、後者の例は特定のケースではほとんどありません。それが私の例に持ち込むつもりだったので、Gillesを引用します。

攻撃者の帯域幅が限られているシステム、または印刷可能な文字のみを挿入できるシステム、またはコンパイラの入手や独自のビルドの作成にコストがかかるエキゾチックなシステム。しかし、ここでは高速ネットワーク接続を備えたシステムと、攻撃者が数ドルで再現できるシステムについて話しています。