Conas a bhainistíonn tú rúndinithe agus creideamh ar bhealach slán?

Question

Accepted Answer

**Rúndinithe** (eochracha API, pasfhocail, tokens, eochracha encriptíochta) ní mór a bhainistiú ar bhealach slán — ná cuir i gcode go crua iad nó ná comit chuig rialú leagain iad, ach stóráil agus rochtain ar bhealach sábháilte orthu. Is foinse choiteann, dhubhach a bhainistiú rúndinithe go dona ar bhreaching.

## An riail spréachta: ná cuir i gcode go crua ná ná comit rúndinithe

```text
❌ NEVER hardcode secrets in source code or commit them to Git:
  → committed secrets are in the repo HISTORY (exposed even if "removed" later)
  → public repos / leaks expose them to attackers (bots scan GitHub for keys constantly)
  → a TOP cause of breaches (leaked AWS keys, database passwords, API tokens)
⚠️ If a secret IS committed/leaked → ROTATE it immediately (it's compromised)
```

## Conas rúndinithe a bhainistiú i gceart

```text
✓ ENVIRONMENT VARIABLES → inject secrets at runtime (not in code); keep .env OUT of Git
  (.gitignore) — basic approach
✓ SECRETS MANAGERS → HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, etc.:
  → centralized, encrypted, access-controlled, audited, rotatable secret storage
  → the robust approach for production (fetch secrets at runtime)
✓ Cloud/platform secret stores; CI/CD secret stores (for pipeline secrets)
```

## Dea-chleachtais

```text
✓ LEAST PRIVILEGE — secrets grant only the access needed
✓ ROTATE secrets regularly (and immediately if leaked); prefer SHORT-LIVED credentials
  (e.g. temporary tokens, OIDC) over long-lived static keys
✓ Audit secret access; encrypt secrets at rest; don't LOG secrets
✓ SCAN for committed secrets (git-secrets, scanners in CI) to catch leaks early
✓ Separate secrets per environment (dev/staging/prod)
```

## Cén fáth a bhíonn sé ann

Tá sé tábhachtach tuiscint a bheith agat ar conas rúndinithe a bhainistiú ar bhealach slán toisc **go bhíonn bainistiú rúndinithe go dona ina fhoinse choiteann, dhubhach ar bhreaching**, agus dá bharr sin is eolas slándála fíor-chriticiúil atá ann.

Tá an **riail spréachta** — **ná cuir rúndinithe i gcode go crua ná ná comit iad chuig rialú leagain** — riachtanach toisc go mbíonn rúndinithe atá comitíthe i stair an thaiscéalain (nochtaithe fiú má bhaintear iad "ar shiúl" ina dhiaidh sin), agus soláthraíonn taiscéalaigh dhomhanda agus leakaí rópa poiblí iad d'ionsaitheoirí (a bhíonn i lorg na heochracha ar GitHub i gcónaí), agus dá bharr sin is **príomhchúis bhreaching fhíor-dhomhanda** iad rúndinithe leakaithe (eochracha AWS, pasfhocail bhunphriobháideachta, tokens API).

Tá an tuiscint seo, agus **go gcaithfear rúndinithe leakaithe a rothlú láithreach** (tá siad thugtha do chompróisíse a luaithe is a nochtaítear iad), ina eolas fíor-chriticiúil.

Tá an tuiscint ar conas **rúndinithe a bhainistiú i gceart** — **athróga timpeallachta** (rúndinithe a instealladh ag am rite, comhaid `.env` a choinneáil amach ó Git — an cur chuige bunúsach), **bainisteorí rúndinithe** (Vault, AWS Secrets Manager, etc. a chur ar fáil stóras lárnach, encriptíochta, rialaithe rochtana, iniúchtha, rothlaithe — an cur chuige láidir do tháirgeoireacht, rúndinithe a fhógairt ag am rite), agus stóireanna rúndinithe pláitfheirme/CI — riachtanach chun rúndinithe a láimhseáil i gceart.

Tá an tuiscint ar na **dea-chleachtais** — príobháideacht ar a laghad (rúndinithe a bhronnadh ar an rochtain íosmhéid), **rúndinithe a rothlú** go rialta agus láithreach má leakaítear iad, **creideamh ghearr-bheo** a bhheith i bhfeabhas ar gheal-bheo statach fadtéarmach (dea-chleachtas nua-aimseartha), rochtain iniúchtha, gan rúndinithe a logáil, **scan a dhéanamh do rúndinithe comitíthe** (leakaí a ghabháil go luath), agus rúndinithe a scaradh gach timpeallacht — ag fianáisiú bainisteoireacht thuaithe rúndinithe.

Tá bainistiú rúndinithe ina réimse ard-gheall ina bhí an botún coiteann (rúndinithe crua/comitíthe) ag baint milleadh mór, agus bainistiú cuí (ní rúndinithe a comit i leabhar) ag cosaint creideamha criticiúla.

Tuig toisc go bhíonn bainistiú rúndinithe go dona ina fhoinse choiteann, dhubhach ar bhreaching agus bainistiú cuí (ní cuir i gcode crua/comit, úsáid athróga timpeallachta nó bainisteorí rúndinithe, rothlú, creideamh ghearr-bheo, scan) ag cosaint creideamha criticiúla, agus ó tharla go bhíonn an tuiscint seo riachtanach don tsábháilteacht, is eolas slándála fíor-chriticiúil é a bheith i bhfeabhas ar bhainistiú rúndinithe ar bhealach slán — ag tabhairt ómós do bhriseadh minic agus díobhálach (creideamh leakaithe), ina bhfuil láimhseáil chuí (ní cuir rúndinithe i gcomit, úsáid stóras cuí, rothlú, scan) ina eolas riachtanach chun an leakaí creideamh a bhaint amach a raibh an iomarca breaching fhíor-dhomhanda ann.