Nosso conselho, quando se trata de gerenciamento de segredos, sempre foi dissociá-los do código-fonte. Entretanto, equipes muitas vezes se veem confrontadas com uma escolha entre a automação total (no espírito da infraestrutura como código) versus algumas etapas manuais (usando ferramentas como vaults) para gerenciar, criar e rotacionar segredos. Por exemplo, nossas equipes usam o SOPS para gerenciar credenciais de inicialização da infraestrutura. Em algumas situações, entretanto, é impossível remover segredos de repositórios de código legado. Para tais necessidades, achamos o Mozilla SOPS uma boa escolha para encriptar segredos em arquivos de texto. O SOPS se integra com as keystores gerenciadas em nuvem, tais como a AWS e GCP Key Management Service (KMS) ou a Azure Key Vault, como fontes de chaves de encriptação. Ele também funciona em várias plataformas e suporta chaves PGP.
Os segredos de texto simples verificados no controle de origem (geralmente Github) são um dos erros de segurança mais comuns cometidos por pessoas desenvolvedoras. Por esta razão, achamos útil apresentar Mozilla Sops, uma ferramenta para criptografar segredos em arquivos de texto que nossos times de desenvolvimento consideram útil em situações nas quais é impossível remover segredos de repositórios de código legados. Mencionamos muitas ferramentas desse tipo anteriormente (Blackbox, git-crypt), mas Sops conta com vários recursos que o diferenciam. Por exemplo, a ferramenta se integra a keystores gerenciadas em nuvem, como AWS e GCP Key Management Service (KMS) ou Azure Key Vault como fontes de chaves de criptografia. Também funciona em várias plataformas e oferece suporte a chaves PGP. Isso permite um controle de acesso refinado a segredos em uma base de arquivo por arquivo. Sops simplifica a chave de identificação em texto para que os segredos ainda possam ser localizados e difundidos pelo git. Sempre apoiamos qualquer coisa que facilite a segurança para as pessoas desenvolvedoras; no entanto, lembre-se de que você não precisa manter segredos no controle de origem em primeiro lugar. Consulte o blip sobre desacoplar gerenciamento de segredos do código-fonte em nossa edição de novembro de 2017.