Enable javascript in your browser for better experience. Need to know to enable it? Go here.
Atualizado em : Apr 24, 2019
Not on the current edition
This blip is not on the current edition of the Radar. If it was on one of the last few editions it is likely that it is still relevant. If the blip is older it might no longer be relevant and our assessment might be different today. Unfortunately, we simply don't have the bandwidth to continuously review blips from previous editions of the Radar Understand more
Apr 2019
Adote ? Acreditamos firmemente que a indústria deveria adotar esses itens. Nós os usamos quando são apropriados em nossos projetos.

Humanos e máquinas usam segredos por todo o fluxo de valor ao construir e operar software. As pipelines de compilação precisam de segredos para fazer interface com infraestruturas seguras como registros de contêiner, as aplicações usam chaves de API como segredos para ter acesso aos recursos de negócio, e as comunicações serviço-a-serviço são protegidas usando certificados e chaves como segredos. Você pode configurar e recuperar esses segredos de maneiras diferentes. Durante muito tempo, alertamos as pessoas desenvolvedoras sobre o uso de gerenciamento de código-fonte para armazenar segredos. Recomendamos desacoplar o gerenciamento de segredos do código-fonte e usar ferramentas como git-secrets e Talisman para evitar armazenar segredos no código-fonte. Temos usado segredos como serviço como uma técnica padrão para armazenar e acessar segredos. Com essa técnica, você pode usar ferramentas como Vault ou AWS Key Management (KMS) para ler/escrever segredos em um terminal HTTPS com níveis refinados de controle de acesso. Segredos como serviço usam provedores de identidade externos como AWS IAM para identificar atores que solicitam acesso a segredos. Esses atores se autenticam com o serviço de segredos. Para esse processo funcionar, é importante automatizar o bootstrapping de identidade dos atores, serviços e aplicações. As plataformas baseadas em SPIFFE melhoraram a automação de atribuição de identidades para serviços.

Nov 2018
Experimente ? Vale a pena ir atrás. É importante entender como desenvolver essa capacidade. As empresas devem experimentar esta tecnologia em um projeto que possa lidar com o risco.

We've long cautioned people about the temptation to check secrets into their source code repositories. Previously, we've recommended decoupling secret management from source code. However, now we're seeing a set of good tools emerge that offer secrets as a service. With this approach, rather than hardwiring secrets or configuring them as part of the environment, applications retrieve them from a separate process. Tools such as Vault by HashiCorp let you manage secrets separately from the application and enforce policies such as frequent rotation externally.

publicado : Nov 14, 2018
Radar

Baixar o Technology Radar Volume 25

English | Español | Português | 中文

Radar

Mantenha-se por dentro das tendências de tecnologia

 

Seja assinante

Visite nosso arquivo para acessar os volumes anteriores