Segredos hardcoded no código.

Inclusão de credenciais, chaves de API, tokens ou material criptográfico diretamente no código-fonte, ficheiros de configuração ou imagens de contentor, onde são facilmente descobertos e abusados. Pertence à categoria Segurança de aplicações da cibersegurança.

Inclusão de credenciais, chaves de API, tokens ou material criptográfico diretamente no código-fonte, ficheiros de configuração ou imagens de contentor, onde são facilmente descobertos e abusados.

Segredos hardcoded estão entre os erros mais comuns e prejudiciais do desenvolvimento moderno. Acabam no histórico do Git, em camadas de contentor, apps móveis, logs de CI e repositórios públicos, onde bots os encontram em minutos. Casos reais incluem chaves AWS publicadas no GitHub, tokens do Slack em bundles do cliente e palavras-passe de base de dados embutidas em imagens Docker. As mitigações combinam prevenção (formação, hooks pre-commit, plugins de IDE, padrões .gitignore), deteção (secret scanning em repositórios e CI: GitHub secret scanning, Gitleaks, TruffleHog) e gestão centralizada de segredos (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, External Secrets no Kubernetes). Ao detetar, os segredos devem ser rodados de imediato, e não apenas removidos do histórico.

As defesas contra Segredos hardcoded no código costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Nomes alternativos comuns: Credenciais hardcoded, Fuga de segredos no código.