Si los secretos (credenciales: contraseñas/claves privadas/claves de acceso) se almacenan en el código, todos los que tienen acceso de lectura para revisar el código (como evaluadores/revisores) pueden obtener esas credenciales y usarlas fuera del código, o venderlas a adversarios.
Los desarrolladores pueden compartirlas con la comunidad de código abierto en repositorios abiertos como GitHub y las credenciales pueden quedar expuestas.
Los adversarios buscan credenciales como claves de acceso en repositorios abiertos.
Los secretos codificados son difíciles de rotar (particularmente importante en caso de un compromiso conocido donde necesita rotar inmediatamente).
Estos riesgos también se aplican a los secretos almacenados en archivos de configuración en el mismo repositorio que el código.
Guía para evaluar su grado de alineación
¿Está aprovechando AWS Secrets Manager o una solución similar para almacenar y rotar secretos como contraseñas de bases de datos?
¿Está controlando que no se almacenen secretos en el código?
¿Sus desarrolladores están capacitados para comprender que no deben almacenar secretos en el código?
¿Se detienen sus procesos cuando se identifica un secreto?
Puede probar AWS Secrets Manager sin costo adicional con una prueba gratuita de 30 días. La versión de prueba gratuita le permite rotar, administrar y recuperar datos confidenciales durante un período de 30 días.