Sekretet (çelësat API, fjalëkalimet, tokent, çelësat e enkriptimit) duhet të menaxhohen në mënyrë të sigurt — kurrë të hardkoduar në kod ose të bërë commit në kontrollin e versionit, por të ruhen dhe të aksesohen në mënyrë të sigurt. Menaxhimi i dobët i sekreteve është një burim i zakonshëm, serioz i thyerjeve.
Rregulla kardinale: mos hardkodoni ose bëni commit të sekreteve
❌ NEVER hardcode secrets in source code or commit them to Git:
→ committed secrets are in the repo HISTORY (exposed even if "removed" later)
→ public repos / leaks expose them to attackers (bots scan GitHub for keys constantly)
→ a TOP cause of breaches (leaked AWS keys, database passwords, API tokens)
⚠️ If a secret IS committed/leaked → ROTATE it immediately (it's compromised)
