Secrets (API keys, mật khẩu, tokens, encryption keys) phải được quản lý an toàn — không bao giờ hardcode trong code hoặc commit vào version control, mà được lưu trữ và truy cập một cách an toàn. Quản lý secrets kém là một nguồn vi phạm phổ biến, nghiêm trọng.
Quy tắc tối cao: không bao giờ hardcode hoặc commit secrets
❌ KHÔNG BAO GIỜ hardcode secrets trong source code hoặc commit chúng vào Git:
→ secrets đã commit nằm trong LỊCH SỬ repo (bị lộ ngay cả khi "gỡ bỏ" sau đó)
→ repo public / rò rỉ làm lộ chúng cho kẻ tấn công (bots liên tục quét GitHub tìm keys)
→ một nguyên nhân HÀNG ĐẦU của vi phạm (AWS keys bị lộ, mật khẩu database, API tokens)
⚠️ Nếu một secret BỊ commit/lộ → XOAY nó ngay lập tức (nó đã bị xâm phạm)
