Kaip saugiai valdote paslaptis ir kredencialus?

Question

Accepted Answer

**Paslapčiai** (API raktai, slaptažodžiai, žetonai, šifravimo raktai) turi būti valdomi saugiai — jie niekada neturi būti įrašyti tiesiogiai į kodą ar patalpinti į versijų kontrolę, tačiau turėtų būti saugomi ir naudojami saugiai. Neprasta paslaptžių valdymo praktika yra dažna ir rimta saugumo pažeidimo priežastis.

## Pagrindinė taisyklė: niekada neįrašykite ir nepatalpinkite paslaptžių į versiją

```text
❌ NEVER hardcode secrets in source code or commit them to Git:
  → committed secrets are in the repo HISTORY (exposed even if "removed" later)
  → public repos / leaks expose them to attackers (bots scan GitHub for keys constantly)
  → a TOP cause of breaches (leaked AWS keys, database passwords, API tokens)
⚠️ If a secret IS committed/leaked → ROTATE it immediately (it's compromised)
```

## Kaip tinkamai valdyti paslaptis

```text
✓ ENVIRONMENT VARIABLES → inject secrets at runtime (not in code); keep .env OUT of Git
  (.gitignore) — basic approach
✓ SECRETS MANAGERS → HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, etc.:
  → centralized, encrypted, access-controlled, audited, rotatable secret storage
  → the robust approach for production (fetch secrets at runtime)
✓ Cloud/platform secret stores; CI/CD secret stores (for pipeline secrets)
```

## Geriausios praktikos

```text
✓ LEAST PRIVILEGE — secrets grant only the access needed
✓ ROTATE secrets regularly (and immediately if leaked); prefer SHORT-LIVED credentials
  (e.g. temporary tokens, OIDC) over long-lived static keys
✓ Audit secret access; encrypt secrets at rest; don't LOG secrets
✓ SCAN for committed secrets (git-secrets, scanners in CI) to catch leaks early
✓ Separate secrets per environment (dev/staging/prod)
```

## Kodėl tai svarbu

Supratimas, kaip saugiai valdyti paslaptis, yra svarbus, nes **neprasta paslaptžių valdymo praktika yra dažna ir rimta saugumo pažeidimo priežastis**, todėl tai yra vertinga ir praktiškai kritinė saugumo žinių sritis.

**Pagrindinė taisyklė** — **niekada neįrašykite paslaptžių tiesiogiai į kodą ir nepatalpinkite jų į versijų kontrolę** — yra esminė, nes patalpintos paslapčiai yra saugyklos istorijoje (atskleistos net jei vėliau "pašalintos"), viešos saugyklos ir nutekėjimai jas atidaro puolikams (kurie nuolat skenuoja GitHub paieškodami raktų), todėl nutekėjusios paslapčiai (AWS raktai, duomenų bazės slaptažodžiai, API žetonai) yra **pagrindinė tikrų saugumo pažeidimų priežastis**.

Supratimas, kad **nutekėjusios paslapčiai turi būti nedelsdami keičiamos** (jos yra sukompromisotos iš karto po atskleisimo), yra kritinės žinios.

Supratimas, kaip **tinkamai valdyti paslaptis** — **aplinkos kintamieji** (paslaptžių injekcija vykdymo metu, išlaikant `.env` failus ne Git — bazinis metodas), **paslaptžių valdikliai** (Vault, AWS Secrets Manager ir kt., teikiantys centralizuotą, šifruotą, prieigos kontrolę turintį, audituojamą, keičiamą saugojimą — tvirtas gamybos metodas, paslaptžius naudojant vykdymo metu), ir platforma/CI paslaptžių saugyklos — yra būtinas paslaptžių teisingam valdymui.

Supratimas apie **geriausias praktikas** — mažiausią teisę (paslapčiai suteikiantys minimalią prieigą), **paslaptžių reguliarų keitimą** ir nedelsdamą keitimą, jei jos nuteka, **trumpai galiojančių kredencialų** pirmenybę prieš ilgai galiojančius statinius raktus (modernią geriausią praktiką), prieigos auditorium, paslaptžių nelogiavimą, **nuskenavimą dėl patalpintų paslaptžių** (greitai nustatant nuotekius), ir paslaptžių atskyrimas kiekvienai aplinkai — atspindi išsamų paslaptžių valdymą.

Paslaptžių valdymas yra didelės rizikos sritis, kurioje dažna klaida (paslaptžių įrašymas/patalpinimas) sukelia didžiulius pažeidimus, o tinkamas valdymas apsaugo kritinį kredencialus.

Kadangi neprasta paslaptžių valdymo praktika yra dažna ir rimta saugumo pažeidimo priežastis, o tinkamas valdymas (niekada nepatalpinant/neįrašant paslaptžių, naudojant aplinkos kintamuosius ar paslaptžių valdiklius, keičiant, naudojant trumpai galiojančius kredencialus, skeneriniu), apsaugo kritinį kredencialus, ir kadangi supratimas apie tai yra būtinas saugumui, supratimas, kaip saugiai valdyti paslaptis, yra vertinga ir praktiškai kritinė saugumo žinių sritis — sprendžiant dažną, žalingą pažeidimą (nutekėjusios paslapčiai), kur tinkamas tvarkymasis (niekada nepatalpinant paslaptžių, naudojant tinkamą saugojimą, keičiant, skeneriniu) yra esminės žinios nutekėjimų prevencijai, kurie sukelia daugelį tikrų saugumo pažeidimų.