Управление секретами
Практика безопасного хранения, распространения и ротации конфиденциальных данных: API-ключей, паролей, учётных данных баз данных и сертификатов.
Определение
Управление секретами решает задачу защиты учётных данных на протяжении всего жизненного цикла разработки. Ключевые практики: никогда не коммитить секреты в git, использовать переменные окружения или менеджеры секретов (HashiCorp Vault, AWS Secrets Manager, 1Password), автоматическая ротация, журналирование аудита, доступ по принципу наименьших привилегий.
Почему это важно
Утечки секретов — одна из главных причин нарушений безопасности. GitHub сканирует на предмет утечек секретов и предотвратил миллионы компрометаций. По данным GitGuardian, более 10 миллионов секретов было раскрыто в публичных репозиториях в 2022. AI-ревьюеры вроде diffray обнаруживают захардкоженные секреты до коммита.
Пример
Вместо хардкода const API_KEY = "sk-12345" в исходном коде, разработчики используют process.env.API_KEY и настраивают значение в AWS Secrets Manager, к которому приложение обращается во время выполнения.