home.social

#secretsmanagement — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #secretsmanagement, aggregated by home.social.

  1. Security Tip: Move beyond static API keys. 🛡️

    Long-lived secrets are a significant risk. If leaked, they provide persistent access to your environment. Implement automated secrets rotation or use dynamic, short-lived credentials to limit the window of exploitation.

    Reducing the "blast radius" is a key component of a mature security posture. Stay updated on the latest threats at cvedatabase.com

  2. Every CI/CD pipeline I've audited had at least one hardcoded secret. Developer adds a credential "temporarily," it persists in git history forever. Internal repos give false security; one compromised workstation exposes every secret in source control.

    Pipeline credentials are privileged credentials outside PAM governance. Vault them. Rotate them. Monitor them.

    #DevSecOps #SecretsManagement #PAM

  3. GitGuardian's Secrets Sprawl report found millions of new exposed secrets in public repos annually. Enterprise internal repos are arguably worse: "it's internal, so it's fine" ignores that one compromised dev workstation exposes every credential in source control.

    Pipeline credentials typically have write access to production databases and cloud deployment permissions. That's privileged access by any definition, outside PAM governance.

    #DevSecOps #SecretsManagement #PAM

  4. Даёшь самоуправление! Управляем конфигурацией HashiСorp Vault изнутри, опираясь на Git и кворум подписей

    При управлении доступом в HashiCorp Vault есть выбор: делать это либо супербезопасно, но неудобно, либо удобно, но с риском компрометации секретов. В первом случае вы отзываете root-токен после инициализации хранилища и для каждого изменения конфигурации собираете кворум владельцев Shamir-ключей. Во втором — применяете конфигурацию через CI/CD или из-под администратора, и тогда где-то обязательно существует «кольцо всевластия»: токен или пароль, компрометация которого даёт полный контроль над инфраструктурой секретов. Мы решили объединить безопасность и удобство в одном решении. Взяли идею кворума и привычный инженерному сообществу способ аудита изменений — коммиты в Git. Что получилось — читайте под катом. Cпойлер: вы сможете использовать это решение бесплатно.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement #плагин

  5. Даёшь самоуправление! Управляем конфигурацией HashiСorp Vault изнутри, опираясь на Git и кворум подписей

    При управлении доступом в HashiCorp Vault есть выбор: делать это либо супербезопасно, но неудобно, либо удобно, но с риском компрометации секретов. В первом случае вы отзываете root-токен после инициализации хранилища и для каждого изменения конфигурации собираете кворум владельцев Shamir-ключей. Во втором — применяете конфигурацию через CI/CD или из-под администратора, и тогда где-то обязательно существует «кольцо всевластия»: токен или пароль, компрометация которого даёт полный контроль над инфраструктурой секретов. Мы решили объединить безопасность и удобство в одном решении. Взяли идею кворума и привычный инженерному сообществу способ аудита изменений — коммиты в Git. Что получилось — читайте под катом. Cпойлер: вы сможете использовать это решение бесплатно.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement #плагин

  6. Даёшь самоуправление! Управляем конфигурацией HashiСorp Vault изнутри, опираясь на Git и кворум подписей

    При управлении доступом в HashiCorp Vault есть выбор: делать это либо супербезопасно, но неудобно, либо удобно, но с риском компрометации секретов. В первом случае вы отзываете root-токен после инициализации хранилища и для каждого изменения конфигурации собираете кворум владельцев Shamir-ключей. Во втором — применяете конфигурацию через CI/CD или из-под администратора, и тогда где-то обязательно существует «кольцо всевластия»: токен или пароль, компрометация которого даёт полный контроль над инфраструктурой секретов. Мы решили объединить безопасность и удобство в одном решении. Взяли идею кворума и привычный инженерному сообществу способ аудита изменений — коммиты в Git. Что получилось — читайте под катом. Cпойлер: вы сможете использовать это решение бесплатно.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement #плагин

  7. Даёшь самоуправление! Управляем конфигурацией HashiСorp Vault изнутри, опираясь на Git и кворум подписей

    При управлении доступом в HashiCorp Vault есть выбор: делать это либо супербезопасно, но неудобно, либо удобно, но с риском компрометации секретов. В первом случае вы отзываете root-токен после инициализации хранилища и для каждого изменения конфигурации собираете кворум владельцев Shamir-ключей. Во втором — применяете конфигурацию через CI/CD или из-под администратора, и тогда где-то обязательно существует «кольцо всевластия»: токен или пароль, компрометация которого даёт полный контроль над инфраструктурой секретов. Мы решили объединить безопасность и удобство в одном решении. Взяли идею кворума и привычный инженерному сообществу способ аудита изменений — коммиты в Git. Что получилось — читайте под катом. Cпойлер: вы сможете использовать это решение бесплатно.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement #плагин

  8. We have released a Harness CI plugin for Keeper Secrets Manager, enabling secrets retrieval from the Keeper Vault within the Harness CI pipeline. The integration also allows developers to set secret credentials as build arguments in the Harness CI pipeline and copy secure files from the Keeper Vault.

    More information, including a setup guide, can be found in our release notes: bit.ly/4rMZuGu.

    #KeeperSecurity #HarnessCI #SecretsManagement #DeveloperTools

  9. FYI: Secrets Management: Comcast's Challenges and Solutions #shorts: Development teams need an easy solution for secrets management. Discover how to provide that solution before expecting compliance. If teams don't know where to store secrets, they won't follow policy. #secretsmanagement #development #security #compliance youtube.com/shorts/q-gDeS12CjU

  10. ICYMI: Secrets Management: Comcast's Challenges and Solutions #shorts: Development teams need an easy solution for secrets management. Discover how to provide that solution before expecting compliance. If teams don't know where to store secrets, they won't follow policy. #secretsmanagement #development #security #compliance youtube.com/shorts/q-gDeS12CjU

  11. We’ve introduced a secure, streamlined integration with ServiceNow’s Security Incident Response module.

    With our ITSM application, enterprises can centrally manage and respond to Keeper-generated security alerts within existing ServiceNow SIR workflows – allowing security teams to maintain visibility and improve response times.

    🔗 bit.ly/4530eO6

    #KeeperSecurity #SecretsManagement #IT #SecurityIncidentResponse #TechIntegration

  12. Secrets Management: Comcast's Challenges and Solutions #shorts: Development teams need an easy solution for secrets management. Discover how to provide that solution before expecting compliance. If teams don't know where to store secrets, they won't follow policy. #secretsmanagement #development #security #compliance youtube.com/shorts/q-gDeS12CjU

  13. Добавляем паранойи: двойное шифрование секретов

    Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets

  14. Добавляем паранойи: двойное шифрование секретов

    Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets

  15. Добавляем паранойи: двойное шифрование секретов

    Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets

  16. Добавляем паранойи: двойное шифрование секретов

    Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets

  17. Solved sekrets management for my budding NixOS pi application cluster (kinda :P)!

    In this case, it's transcrypt to the rescue: github.com/elasticdog/transcry

    ....I really should have initialised it in aes-256-ctr instead of the aes-256-cbc default tho.......

    But yeah, transcrypt + git submodules = I can open source my NixOS config in the future!

    #NixOS #transcrypt #git #sysadmin #SecretsManagement #terminal #RaspberryPi

  18. @abmurrow Ahh I see. No problem!

    Honestly I'm considering just rolling my own secrets + deployment system with a git submodule and stuff, because all the nix tooling seems to require nix on my laptop as well.

    Good luck with your Nix/OS journey! 💖❄

    #NixOS #SecretsManagement

  19. This kind of story is frustrating, but not surprising. Exposing keys in a public repository is one of the oldest, most basic mistakes in the book, yet, it happens ... constantly. The fact that it happened at the DoD just proves that no organization is immune to process failures and a lack of developer security training.

    This is not a failure of high-tech security tools; it is a failure of fundamentals. It is a powerful reminder that your attack surface is not just your servers and firewalls; it is every single line of code your developers commit.

    TL;DR
    🔑 The US Department of Defense reportedly exposed internal access keys on a public-facing server.
    💻 The leak likely originated from secrets being hardcoded and committed to a public source code repository.
    🔁 This is a classic, fundamental security mistake, not a sophisticated external attack.
    🎯 It highlights the critical need for automated secrets scanning and continuous developer security education, even in the most secure organizations.

    theregister.com/2025/09/09/us_
    #CyberSecurity #DevSecOps #SecretsManagement #DoD #security #privacy #cloud #infosec

  20. Секретные ингредиенты безопасной разработки: исследуем способы точного и быстрого поиска секретов

    Точно и быстро искать секрет в коде — тривиальная задача, если знаешь конкретный формат секрета и осуществляешь поиск в своём проекте. Задача становится сложнее, если твой скоуп включает несколько проектов или один большой корпоративный монорепозиторий. И эта же задача становится вызовом, если область поиска — платформа для разработчиков, а формат твоего секрета — недетерминирован. Меня зовут Денис Макрушин, и вместе с Андреем Кулешовым @akuleshov7 и Алексеем Тройниковым @atroynikov в этом году мы сделали POC платформы для безопасной разработки в рамках команды SourceCraft. Сегодня поговорим о функциональности поиска секретов. Наша appsec‑платформа состоит из двух групп инструментов: анализаторы, которые требуют точной настройки, и слой управления, который отвечает за обработку результатов и интеграцию с инфраструктурой. В этом материале пройдём стадию discovery для анализатора секретов: посмотрим на актуальные инструменты поиска секретов, их ограничения и определим направления для повышения трёх ключевых параметров Secret Sсanning: точность, полнота и скорость.

    habr.com/ru/companies/yandex_c

    #secretsmanagement #git #devsecops #секреты

  21. Vault8s: доставляем секреты из HashiCorp Vault в Kubernetes

    Мы все знаем, что Hashicorp Vault — это фактический стандарт для хранения секретов, а Kubernetes — для размещения приложений. Но как подружить их вместе? Существует множество инструментов для интеграции Vault с Kubernetes, и каждый из них имеет свои плюсы и минусы. Как выбрать подходящий? В этой статье, созданной по мотивам выступления на DevOpsConf’25, вы узнаете о самых популярных инструментах доставки секретов из Hashicorp Vault в Kubernetes, таких как External Secrets Operator, Hashicorp Vault Secrets Operator, Hashicorp Vault Agent Injector, Hashicorp Vault CSI Provider, Bank Vaults-Vault Secrets Webhook. Для каждого инструмента будет приведён пример настройки, объяснено, как именно секрет попадает в приложение, а также мы с вами сравним их с точки зрения ротации секретов и удобства использования. Меня зовут Михаил Кажемский , я Lead DevOps из Hilbert Team . Я в IT уже больше 10 лет и пришёл в DevOps из разработки, поэтому побывал по обе стороны баррикад. Соавтор ряда курсов для инженеров на Яндекс Практикум по направлениям DevOps, Security и Data. Hilbert Team — провайдер IT-решений для крупного и среднего бизнеса в области облачных технологий, DevOps, DevSecOps, DataOps, MLOps и FinOps. Партнёр Yandex Cloud со специализацией Yandex Cloud Professional по направлениям DevOps и Data Platform.

    habr.com/ru/companies/oleg-bun

    #secrets #hashicorp_vault #kubernetes #vault #k8s #secretsmanagement #External_Secrets_Operator #HashiCorp_Vault_Secrets_Operator #HashiCorp_Vault_CSI_Provide #HashiCorp_Vault_Agent_Injector

  22. Vault8s: доставляем секреты из HashiCorp Vault в Kubernetes

    Мы все знаем, что Hashicorp Vault — это фактический стандарт для хранения секретов, а Kubernetes — для размещения приложений. Но как подружить их вместе? Существует множество инструментов для интеграции Vault с Kubernetes, и каждый из них имеет свои плюсы и минусы. Как выбрать подходящий? В этой статье, созданной по мотивам выступления на DevOpsConf’25, вы узнаете о самых популярных инструментах доставки секретов из Hashicorp Vault в Kubernetes, таких как External Secrets Operator, Hashicorp Vault Secrets Operator, Hashicorp Vault Agent Injector, Hashicorp Vault CSI Provider, Bank Vaults-Vault Secrets Webhook. Для каждого инструмента будет приведён пример настройки, объяснено, как именно секрет попадает в приложение, а также мы с вами сравним их с точки зрения ротации секретов и удобства использования. Меня зовут Михаил Кажемский , я Lead DevOps из Hilbert Team . Я в IT уже больше 10 лет и пришёл в DevOps из разработки, поэтому побывал по обе стороны баррикад. Соавтор ряда курсов для инженеров на Яндекс Практикум по направлениям DevOps, Security и Data. Hilbert Team — провайдер IT-решений для крупного и среднего бизнеса в области облачных технологий, DevOps, DevSecOps, DataOps, MLOps и FinOps. Партнёр Yandex Cloud со специализацией Yandex Cloud Professional по направлениям DevOps и Data Platform.

    habr.com/ru/companies/oleg-bun

    #secrets #hashicorp_vault #kubernetes #vault #k8s #secretsmanagement #External_Secrets_Operator #HashiCorp_Vault_Secrets_Operator #HashiCorp_Vault_CSI_Provide #HashiCorp_Vault_Agent_Injector

  23. Vault8s: доставляем секреты из HashiCorp Vault в Kubernetes

    Мы все знаем, что Hashicorp Vault — это фактический стандарт для хранения секретов, а Kubernetes — для размещения приложений. Но как подружить их вместе? Существует множество инструментов для интеграции Vault с Kubernetes, и каждый из них имеет свои плюсы и минусы. Как выбрать подходящий? В этой статье, созданной по мотивам выступления на DevOpsConf’25, вы узнаете о самых популярных инструментах доставки секретов из Hashicorp Vault в Kubernetes, таких как External Secrets Operator, Hashicorp Vault Secrets Operator, Hashicorp Vault Agent Injector, Hashicorp Vault CSI Provider, Bank Vaults-Vault Secrets Webhook. Для каждого инструмента будет приведён пример настройки, объяснено, как именно секрет попадает в приложение, а также мы с вами сравним их с точки зрения ротации секретов и удобства использования. Меня зовут Михаил Кажемский , я Lead DevOps из Hilbert Team . Я в IT уже больше 10 лет и пришёл в DevOps из разработки, поэтому побывал по обе стороны баррикад. Соавтор ряда курсов для инженеров на Яндекс Практикум по направлениям DevOps, Security и Data. Hilbert Team — провайдер IT-решений для крупного и среднего бизнеса в области облачных технологий, DevOps, DevSecOps, DataOps, MLOps и FinOps. Партнёр Yandex Cloud со специализацией Yandex Cloud Professional по направлениям DevOps и Data Platform.

    habr.com/ru/companies/oleg-bun

    #secrets #hashicorp_vault #kubernetes #vault #k8s #secretsmanagement #External_Secrets_Operator #HashiCorp_Vault_Secrets_Operator #HashiCorp_Vault_CSI_Provide #HashiCorp_Vault_Agent_Injector

  24. Vault8s: доставляем секреты из HashiCorp Vault в Kubernetes

    Мы все знаем, что Hashicorp Vault — это фактический стандарт для хранения секретов, а Kubernetes — для размещения приложений. Но как подружить их вместе? Существует множество инструментов для интеграции Vault с Kubernetes, и каждый из них имеет свои плюсы и минусы. Как выбрать подходящий? В этой статье, созданной по мотивам выступления на DevOpsConf’25, вы узнаете о самых популярных инструментах доставки секретов из Hashicorp Vault в Kubernetes, таких как External Secrets Operator, Hashicorp Vault Secrets Operator, Hashicorp Vault Agent Injector, Hashicorp Vault CSI Provider, Bank Vaults-Vault Secrets Webhook. Для каждого инструмента будет приведён пример настройки, объяснено, как именно секрет попадает в приложение, а также мы с вами сравним их с точки зрения ротации секретов и удобства использования. Меня зовут Михаил Кажемский , я Lead DevOps из Hilbert Team . Я в IT уже больше 10 лет и пришёл в DevOps из разработки, поэтому побывал по обе стороны баррикад. Соавтор ряда курсов для инженеров на Яндекс Практикум по направлениям DevOps, Security и Data. Hilbert Team — провайдер IT-решений для крупного и среднего бизнеса в области облачных технологий, DevOps, DevSecOps, DataOps, MLOps и FinOps. Партнёр Yandex Cloud со специализацией Yandex Cloud Professional по направлениям DevOps и Data Platform.

    habr.com/ru/companies/oleg-bun

    #secrets #hashicorp_vault #kubernetes #vault #k8s #secretsmanagement #External_Secrets_Operator #HashiCorp_Vault_Secrets_Operator #HashiCorp_Vault_CSI_Provide #HashiCorp_Vault_Agent_Injector