gestión de secretos
8 artículos con esta etiqueta
Detén los secretos antes de hacerles commit con gitleaks: atrapa fugas de claves de API antes del push
Los secretos no se pueden «borrar después de que se filtran». Una vez con commit, un secreto se queda en el historial de Git, y una vez con push debe tratarse como filtrado — la clave necesita revocarse/rotarse. gitleaks es una herramienta gratuita que escanea todo el repo y el historial de commits con regex/entropía para encontrar claves de API, claves privadas y tokens. El núcleo de la defensa son dos puertas: un hook de pre-commit que lo detiene localmente antes del push, y CI/cron que atrapa lo que se cuela. .gitignore solo evita el nuevo seguimiento — no puede detectar, así que aún necesitas un escáner.
¿Son seguros los gestores de contraseñas? Cómo funcionan, nube vs local y cómo elegir
Un gestor de contraseñas es más seguro que reutilizar o guardar en texto plano. La clave es el cifrado de conocimiento cero: tu contraseña maestra descifra la bóveda solo en tu dispositivo, el proveedor solo guarda texto cifrado, así que una brecha del proveedor no expone tus contraseñas. El verdadero punto único es tu contraseña maestra más el MFA de la bóveda. Elige nube (Bitwarden/1Password) o local (KeePass) según el uso.
La base de seguridad para desarrolladores independientes y pequeños operadores: el conjunto estándar completo
La base no es 'todo igual de importante'. El orden de prioridad de este sitio: 1) llaves del reino (MFA, dominio, correo), 2) secretos y código, 3) la propia app, 4) parchear, detectar, recuperar. Con tiempo finito, complétala de arriba abajo. La mayoría de las brechas graves no vienen de ataques novedosos sino de un hueco en esta base.
Inventario de seguridad — 7 comprobaciones que pasan por alto quienes operan varios servidores
Para operadores solos/pequeños, los incidentes vienen menos de controles ausentes que de estado sin seguimiento. La frontera es el PC que guarda tus claves. Escalona el 2FA por raíz de confianza, haz una matriz de tus claves SSH para eliminar duplicados/sin usar/huérfanas, quita las contraseñas en texto plano de la nube, remedia de forma reversible una a una, y mantén los secretos fuera del registro. Inventario antes de añadir herramientas.
¿Es seguro guardar tus contraseñas en Google Drive? Cómo conservarlas correctamente
Guardar contraseñas en un Documento/Hoja de Google en texto plano es peligroso: una cuenta de Google se convierte en el punto único de fallo de cada contraseña — la toma de la cuenta, una app conectada maliciosa o el phishing las filtran todas de golpe. La solución es un gestor de contraseñas dedicado (el contenido sigue cifrado incluso al sincronizar). Si debes usar Drive, guarda solo un archivo de bóveda cifrado y pon MFA resistente al phishing en la cuenta.
¿Dejaste un archivo de secretos en un directorio público? Audita tu webroot
Cualquier cosa en tu webroot puede descargarse por URL por cualquiera. Un JSON de token/credenciales olvidado, un .env o una copia de seguridad significa exposición instantánea — y si vino de una plantilla compartida, todos los sitios tienen el mismo agujero. Solución: coloca en el directorio público solo cosas compartibles públicamente, mantén los secretos fuera del webroot con permisos 600, y una vez que encuentres uno, audita cada sitio y servidor.
Git autoalojado vs GitHub: ¿cuál es realmente más seguro?
Autoalojar Git no te hace 'más seguro' — reubica el riesgo. La clase de exposición pública accidental desaparece, pero parchear el servidor, las copias de seguridad y la detección de secretos pre-commit pasan a ti. La decisión correcta si pagas el precio; peor que GitHub si lo descuidas. La visión de este sitio: el autoalojamiento solo funciona acompañado de sus controles compensatorios.
Filtración de Codecov (2021) — cuando una «herramienta de confianza» del CI fue secuestrada y se filtraron secretos
Una herramienta de confianza del CI (el Bash Uploader curl|bash) fue alterada en origen. Como tu propio código quedó intacto, pasó ~2 meses inadvertida mientras se filtraban secretos del CI; una verificación de checksum lo detectó. En tu CI: verifica los artefactos descargados, secretos de mínimo privilegio, rotación, monitorización de salida.