Le credenziali database sono tra i segreti più sensibili. Una fuga può portare a violazioni di dati importanti.
Perché le credenziali fuoriescono
Hardcoded nel codice
Stringhe di connessione nel codice sorgente o file di configurazione.
Incollate su Slack
Durante la configurazione CI/CD, le credenziali finiscono su Slack.
Opzioni di gestione segreti CI/CD
Secrets GitHub Actions
Segreti crittati per i workflow.
AWS Systems Manager Parameter Store
Archiviazione centralizzata e sicura per AWS.
Link monouso
Per le credenziali iniziali durante la configurazione.
Quando i link monouso sono utili
Quando un trasferimento sicuro una tantum è la soluzione pratica.
Passo per passo
- 1Copia le credenziali da condividere
- 2Incolla nel modulo crittografato PassLink
- 3Scadenza 1h + password
- 4Invia il link
- 5Il destinatario copia nel vault CI/CD, il link viene distrutto
Migliori pratiche
- ✓ Mai commit di credenziali nel controllo versione
- ✓ Gestione segreti integrata per la produzione
- ✓ Link monouso per lo scambio iniziale
- ✓ Rotazione dopo la condivisione
- ✓ Audit regolare degli accessi
- ✓ Credenziali separate per ambiente
Principi di sicurezza per la gestione delle credenziali database
- Privilegio minimo: Concedi solo i permessi minimi richiesti.
- Rotazione credenziali: Cambia le password regolarmente.
- Log di audit: Attiva i log per tracciare gli accessi.
- Separazione ambienti: Non condividere mai le credenziali di produzione sugli stessi canali dello sviluppo.
Domande frequenti
È sicuro archiviare credenziali database nelle variabili d'ambiente?
Meglio del hardcoding, ma possono esserci fughe. Usa un gestore di segreti dedicato per la produzione.
Con quale frequenza cambiare le password dei database?
Ogni 90 giorni, e immediatamente dopo la partenza di un membro del team.
Prova PassLink — È Gratis
Crea un link crittografato e autodistruttivo in 10 secondi. Nessuna registrazione.
Crea un Link Segreto Ora