Le credenziali database sono tra i segreti più sensibili. Una fuga può portare a violazioni di dati importanti.
Perché le credenziali fuoriescono
Hardcoded nel codice
Stringhe di connessione nel codice sorgente o file di configurazione.
Incollate su Slack
Durante la configurazione CI/CD, le credenziali finiscono su Slack.
Opzioni di gestione segreti CI/CD
Secrets GitHub Actions
Segreti crittati per i workflow.
AWS SSM / Secrets Manager
Archiviazione centralizzata e sicura per AWS.
Link monouso
Per le credenziali iniziali durante la configurazione.
Quando i link monouso sono utili
Quando un trasferimento sicuro una tantum è la soluzione pratica.
Passo per passo
- 1Copia le credenziali da condividere
- 2Incolla nel modulo crittografato PassLink
- 3Scadenza 1h + password
- 4Invia il link
- 5Il destinatario copia nel vault CI/CD, il link viene distrutto
Migliori pratiche
- ✓ Mai commit di credenziali nel controllo versione
- ✓ Gestione segreti integrata per la produzione
- ✓ Link monouso per lo scambio iniziale
- ✓ Rotazione dopo la condivisione
- ✓ Audit regolare degli accessi
- ✓ Credenziali separate per ambiente