Credenciais de banco de dados são dos segredos mais sensíveis em qualquer organização. Uma senha vazada pode levar a violações de dados e danos financeiros significativos.
Por que credenciais de banco de dados vazam
Hardcoded no código
Desenvolvedores às vezes codificam strings de conexão diretamente no código da aplicação ou arquivos de configuração.
Coladas no Slack/Confluence
Ao configurar um novo pipeline CI/CD, credenciais frequentemente acabam coladas em canais do Slack.
Opções de gestão de segredos CI/CD
Secrets do GitHub Actions
GitHub Actions fornece segredos criptografados para arquivos de workflow.
AWS SSM / Secrets Manager
Para infraestrutura AWS, AWS Systems Manager e Secrets Manager fornecem armazenamento seguro e centralizado.
Links de uso único para configuração inicial
Quando configurando um novo pipeline, alguém precisa inserir as credenciais iniciais. Use um link autodestrutivo.
Quando links de uso único preenchem a lacuna
Gerenciadores de segredos são essenciais para produção, mas há situações onde uma transferência segura de uso único é a solução prática.
Passo a passo com PassLink
- 1Copie a string de conexão ou credenciais que precisa compartilhar
- 2Vá ao PassLink e cole no formulário criptografado
- 3Configure expiração de 1 hora e ative proteção por senha
- 4Envie o link para quem configura o pipeline
- 5Eles abrem, copiam as credenciais para o vault do CI/CD e o link é destruído
Resumo de melhores práticas
- ✓ Nunca faça commit de credenciais de banco no controle de versão
- ✓ Use gestão de segredos integrada da sua plataforma CI/CD para produção
- ✓ Use links de uso único para troca inicial durante configuração
- ✓ Rotacione senhas de banco após compartilhar para configuração
- ✓ Audite quem tem acesso a credenciais regularmente
- ✓ Use credenciais separadas para desenvolvimento, staging e produção