Mozilla Sops для управления секретами в гите
Задача управления секретами одна из самых неприятных в IT. Само существование секретов уже неприятно, потому надо специально прикладывать усилия, чтобы у кого-то не работало (например, чтобы анонимный пользователь не мог прочитать секрет).
Когда кто-то прикладывает осмысленные усилия, появляются баги. А баги с секретами особо плохие, потому что это секреты, и смотреть на вывод нельзя. Всё равно, что USB-A втыкать вслепую, только возможных неправильных позиций больше.
В индустрии, по мере наработки практик, появилось множество систем управления секретами: с сосбственными серверами (hashicorp vault), 'as a service' (их ещё называют KMS, key management system), аппаратные (токены и TPM), самописные скрипты на gpg и т.д.
Среди всего этого множества я хочу выделить Mozilla Sops, и, как мне кажется, это один из лучших инструментов. Предупреждая возражения: я говорю про инструмент, а не решение. SOPS не заменяет KMS и не претендует на отмену Hashicorp'ового vault'а.
На Хабре уже был перевод про sops с точки зрения IT-директора, весьма убедительная статья, после которой я и занялся sops всерьёз. Если вы ту статью не читали, очень рекомендую начать с неё, чтобы получить заряд мотивации.
В этой статье я расскажу про техническую часть.
Читать далееИсточник: Хабрахабр
Похожие новости
- Взлом уязвимой операционной системы Vulnix. Уязвимая служба/протокол smtp
- НКО научат создавать качественный контент
- Скрытые языки: как инженеры передают информацию внутри команды, избегая документации
- [Перевод] Пишем на C самоизменяющуюся программу x86_64
- Четыре взлома ИТ-инфраструктуры, один из которых выдуман. Какой?
- Red Digital и хлебцы Kruazett: KRRустящий кейс
- Быстрый старт в маскировании данных PostgreSQL с инструментом pg_anon
- [Перевод] Свой среди чужих: насколько токсична рабочая среда безопасника?
- [Перевод] Обход двухфакторной аутентификации в публичной баг-баунти программе: путь к $6000
- Кратко про XHTTP для VLESS: что, зачем и как