Segredos hardcoded no código
O que é Segredos hardcoded no código?
Segredos hardcoded no códigoInclusão de credenciais, chaves de API, tokens ou material criptográfico diretamente no código-fonte, ficheiros de configuração ou imagens de contentor, onde são facilmente descobertos e abusados.
Segredos hardcoded estão entre os erros mais comuns e prejudiciais do desenvolvimento moderno. Acabam no histórico do Git, em camadas de contentor, apps móveis, logs de CI e repositórios públicos, onde bots os encontram em minutos. Casos reais incluem chaves AWS publicadas no GitHub, tokens do Slack em bundles do cliente e palavras-passe de base de dados embutidas em imagens Docker. As mitigações combinam prevenção (formação, hooks pre-commit, plugins de IDE, padrões .gitignore), deteção (secret scanning em repositórios e CI: GitHub secret scanning, Gitleaks, TruffleHog) e gestão centralizada de segredos (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, External Secrets no Kubernetes). Ao detetar, os segredos devem ser rodados de imediato, e não apenas removidos do histórico.
● Exemplos
- 01
Chave AWS comprometida em repositório GitHub público e abusada em poucos minutos.
- 02
Segredo de cliente OAuth embutido no binário de uma app móvel.
● Perguntas frequentes
O que é Segredos hardcoded no código?
Inclusão de credenciais, chaves de API, tokens ou material criptográfico diretamente no código-fonte, ficheiros de configuração ou imagens de contentor, onde são facilmente descobertos e abusados. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Segredos hardcoded no código?
Inclusão de credenciais, chaves de API, tokens ou material criptográfico diretamente no código-fonte, ficheiros de configuração ou imagens de contentor, onde são facilmente descobertos e abusados.
Como se defender contra Segredos hardcoded no código?
As defesas contra Segredos hardcoded no código costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Segredos hardcoded no código?
Nomes alternativos comuns: Credenciais hardcoded, Fuga de segredos no código.