Hardcodierte Secrets im Code
Was ist Hardcodierte Secrets im Code?
Hardcodierte Secrets im CodeEinbetten von Zugangsdaten, API-Schlüsseln, Tokens oder kryptografischem Material direkt in Quellcode, Konfigurationsdateien oder Container-Images, wo sie leicht entdeckt und missbraucht werden.
Hardcodierte Secrets sind einer der häufigsten und schädlichsten Fehler moderner Entwicklung. Sie landen in der Git-Historie, in Container-Layern, mobilen Apps, CI-Logs und öffentlichen Repos, wo Bots sie binnen Minuten finden. Reale Vorfälle: AWS-Keys auf GitHub, Slack-Tokens in Client-Bundles, DB-Passwörter in Docker-Images. Gegenmaßnahmen kombinieren Prävention (Schulung, Pre-Commit-Hooks, IDE-Plugins, .gitignore-Muster), Erkennung (Secret-Scanning in Repos und CI: GitHub Secret Scanning, Gitleaks, TruffleHog) und zentrales Secret-Management (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, External Secrets in Kubernetes). Bei Fund müssen Secrets sofort rotiert werden, nicht nur aus der Historie entfernt.
● Beispiele
- 01
AWS-Access-Key, in einem öffentlichen GitHub-Repo committet und binnen Minuten ausgenutzt.
- 02
OAuth-Client-Secret, eingebettet in das Binary einer Mobile-App.
● Häufige Fragen
Was ist Hardcodierte Secrets im Code?
Einbetten von Zugangsdaten, API-Schlüsseln, Tokens oder kryptografischem Material direkt in Quellcode, Konfigurationsdateien oder Container-Images, wo sie leicht entdeckt und missbraucht werden. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Hardcodierte Secrets im Code?
Einbetten von Zugangsdaten, API-Schlüsseln, Tokens oder kryptografischem Material direkt in Quellcode, Konfigurationsdateien oder Container-Images, wo sie leicht entdeckt und missbraucht werden.
Wie funktioniert Hardcodierte Secrets im Code?
Hardcodierte Secrets sind einer der häufigsten und schädlichsten Fehler moderner Entwicklung. Sie landen in der Git-Historie, in Container-Layern, mobilen Apps, CI-Logs und öffentlichen Repos, wo Bots sie binnen Minuten finden. Reale Vorfälle: AWS-Keys auf GitHub, Slack-Tokens in Client-Bundles, DB-Passwörter in Docker-Images. Gegenmaßnahmen kombinieren Prävention (Schulung, Pre-Commit-Hooks, IDE-Plugins, .gitignore-Muster), Erkennung (Secret-Scanning in Repos und CI: GitHub Secret Scanning, Gitleaks, TruffleHog) und zentrales Secret-Management (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, External Secrets in Kubernetes). Bei Fund müssen Secrets sofort rotiert werden, nicht nur aus der Historie entfernt.
Wie schützt man sich gegen Hardcodierte Secrets im Code?
Schutzmaßnahmen gegen Hardcodierte Secrets im Code kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Hardcodierte Secrets im Code?
Übliche alternative Bezeichnungen: Hardcoded Credentials, Secret-Leakage im Code.
● Verwandte Begriffe
- identity-access№ 233
Credential Vault
Ein zentraler, auditierter Dienst, der Secrets wie Passwörter, API-Schlüssel, Zertifikate und SSH-Keys sicher speichert, rotiert und kontrolliert herausgibt.
- appsec№ 982
Sicheres Programmieren
Praxis, Quellcode so zu schreiben, dass Sicherheitsmängel minimiert werden — durch defensive Muster, sprachspezifische Regeln und anerkannte Leitlinien.
- appsec№ 166
CI/CD-Sicherheit
Kontrollen, die Continuous-Integration- und Continuous-Delivery-Pipelines vor Kompromittierung, Code-Injektion, Secret-Leakage und unautorisierten Deployments schützen.
- appsec№ 1069
Software-Supply-Chain-Sicherheit
Disziplin zum Schutz jedes Glieds der Software-Produktion - Quellcode, Abhängigkeiten, Build, Signatur, Distribution und Deployment - gegen Manipulation, bösartigen Code und Integritätsverlust.
- appsec№ 444
GitOps-Sicherheit
Sicherheitspraktiken für GitOps-Workflows, in denen der deklarative Soll-Zustand von Infrastruktur und Anwendungen in Git liegt und von einem automatisierten Controller in die Produktion abgeglichen wird.
- compliance№ 781
OWASP Top 10
Awareness-Dokument der OWASP, das die kritischsten Sicherheitsrisiken für Webanwendungen auflistet und periodisch anhand realer Schwachstellendaten aktualisiert wird.