ניהול סודות בתשתית: אחסון, הפצה ורוטציה

סודות בקוד או ב-git הם סיכון מתמשך. מערכת מרכזית מצפינה, מבקרת גישה ומתעדת מי קרא ומתי.

בפיתוח – ערכי דמה; ב-production – הזרקה דינמית ממנהל סודות או External Secrets. לא להעביר סודות בשורת פקודה או לוג.

רוטציה תקופתית או אחרי אירוע, ותמיכה באפליקציה לטעון מחדש סודות בלי השבתה כשאפשר.

ב-CI – OIDC או אסימונים קצרי חיים במקום מפתחות קבועים. אודיט גישה לסודות תומך ב-compliance.

לסיכום: בלי סודות במאגר, עם מנהל מרכזי, RBAC ורוטציה – מצמצמים דליפות ומקלים על תגובה לאירוע.