Nuestro consejo en lo que respecta a la gestión de secretos siempre ha sido desvincularlo del código original. Sin embargo, los equipos se enfrentan a menudo a la disyuntiva entre la automatización total (con el enfoque de infraestructura como código) y unos pocos pasos manuales (utilizando herramientas como las cajas fuertes) para gestionar, seleccionear y rotar secretos semilla. Por ejemplo, nuestros equipos utilizan SOPS para gestionar las credenciales semilla para arrancar la infraestructura. En algunas situaciones, sin embargo, es imposible eliminar los secretos de repositorios de código heredado. Para tales necesidades, encontramos que Mozilla SOPS es una buena opción para cifrar secretos en archivos de texto. SOPS se integra con almacenes de claves gestionados en la nube como AWS y GCP Key Management Service (KMS) o Azure Key Vault como fuentes de claves de cifrado. También funciona multiplataforma y admite claves PGP.
Los secrets en texto plano registrados en el control de código fuente (normalmente Github) son uno de los errores de seguridad más comunes que cometen los desarrolladores. Por esta razón pensamos que es útil presentar Mozilla Sops, una herramienta para encriptar secrets en archivos de texto que nuestros desarrolladores encuentran útil en situaciones en las que es imposible eliminar los secrets de los repositorios de código heredados. Ya hemos mencionado muchas herramientas de este tipo (Blackbox, git-crypt), pero Sops tiene varias características que lo diferencian. Por ejemplo, Sops se integra con almacenes de claves(keystores) gestionados en la nube, como AWS y GCP Key Management Service (KMS) o Azure Key Vault, como fuentes de claves de cifrado. También funciona en varias plataformas y es compatible con las PGP keys . Esto permite un control de acceso detallado a los secrets de archivo por archivo. Sops deja la key de identificación en texto plano para que los secrets puedan seguir siendo localizados y difundidos por git. Siempre apoyamos cualquier cosa que facilite la seguridad de los desarrolladores; sin embargo, recuerda que, para empezar, no tienes que mantener los secrets en el control de código. Consulta Desacoplar la gestión de secrets del código fuente en nuestra edición de noviembre de 2017.
