gestão de segredos
8 artigos com esta tag
Detenha segredos antes do commit com o gitleaks: pegue vazamentos de chave de API antes do push
Segredos não podem ser 'apagados depois que vazam'. Uma vez comitado, um segredo fica no histórico do Git, e uma vez enviado deve ser tratado como vazado — a chave precisa ser revogada/rotacionada. O gitleaks é uma ferramenta gratuita que varre todo o repo e o histórico de commits com regex/entropia para encontrar chaves de API, chaves privadas e tokens. O cerne da defesa são dois portões: um hook de pre-commit que o detém localmente antes do push e CI/cron que pega o que escapa. O .gitignore só evita novo rastreamento — ele não detecta, então você ainda precisa de um scanner.
Gerenciadores de senhas são seguros? Como funcionam, nuvem vs. local e como escolher
Um gerenciador de senhas é mais seguro que reutilizar ou guardar em texto puro. A chave é a criptografia de conhecimento zero: sua senha-mestra descriptografa o cofre só no seu dispositivo, o provedor guarda apenas o texto cifrado, então uma invasão do provedor não expõe suas senhas. O ponto único real é sua senha-mestra mais o MFA do cofre. Escolha nuvem (Bitwarden/1Password) ou local (KeePass) pelo uso.
A base de segurança para devs independentes e pequenos operadores: o conjunto-padrão completo
A base não é 'tudo igualmente importante'. A ordem de prioridade deste site: 1) chaves do reino (MFA, domínio, e-mail), 2) segredos e código, 3) o próprio app, 4) corrigir, detectar, recuperar. Com tempo finito, preencha de cima para baixo. A maioria das invasões sérias vem não de ataques inéditos, mas de uma falha nesta base.
Inventário de segurança — 7 verificações que quem roda vários servidores ignora
Para operadores solo/pequenos, incidentes vêm menos de controles ausentes do que de estado não rastreado. A fronteira é o PC que guarda suas chaves. Escalone o 2FA pela raiz de confiança, faça a matriz das chaves SSH para eliminar duplicatas/sem uso/órfãs, remova senhas em texto puro da nuvem, remedie de forma reversível uma de cada vez e mantenha segredos fora do registro. Inventarie antes de adicionar ferramentas.
Guardar suas senhas no Google Drive é seguro? Como mantê-las do jeito certo
Guardar senhas em um Documento/Planilha Google em texto puro é perigoso: uma conta Google vira o ponto único de falha para toda senha — sequestro de conta, um app conectado malicioso ou phishing vazam todas de uma vez. A correção é um gerenciador de senhas dedicado (o conteúdo fica criptografado mesmo quando sincronizado). Se você precisar usar o Drive, guarde só um arquivo de cofre criptografado e coloque MFA resistente a phishing na conta.
Você deixou um arquivo de segredo em um diretório público? Audite seu webroot
Qualquer coisa no seu webroot pode ser baixada pela URL por qualquer um. Um JSON de token/credenciais esquecido, um .env ou um backup significam exposição instantânea — e se veio de um template compartilhado, todo site tem o mesmo buraco. Correção: coloque no diretório público só o que pode ser compartilhado, mantenha segredos fora do webroot com permissão 600 e, ao achar um, audite todos os sites e hosts.
Git auto-hospedado vs. GitHub: qual é de fato mais seguro?
Auto-hospedar o Git não te torna 'mais seguro' — realoca o risco. A classe de exposição pública acidental desaparece, mas aplicar patches no servidor, backups e detecção de segredos pré-commit passam para você. A escolha certa se você paga o preço; pior que o GitHub se você o negligencia. A visão deste site: a auto-hospedagem só funciona junto com seus controles compensatórios.
Vazamento da Codecov (2021) — quando uma 'ferramenta confiável' no CI foi sequestrada e segredos vazaram
Uma ferramenta de CI confiável (o Bash Uploader curl|bash) foi alterada na origem. Como o seu próprio código permaneceu intocado, passou despercebido por cerca de 2 meses enquanto segredos de CI vazavam; uma verificação de checksum o pegou. No seu CI: verifique artefatos baixados, segredos de menor privilégio, rotação, monitoramento de egress.