Хардкод секретов в коде.

Встраивание учётных данных, API-ключей, токенов или криптографического материала прямо в исходный код, конфигурационные файлы или контейнерные образы, откуда их легко обнаружить и использовать злоумышленникам. Относится к категории Безопасность приложений в кибербезопасности.

Встраивание учётных данных, API-ключей, токенов или криптографического материала прямо в исходный код, конфигурационные файлы или контейнерные образы, откуда их легко обнаружить и использовать злоумышленникам.

Хардкод секретов — одна из самых частых и разрушительных ошибок современной разработки. Они попадают в историю Git, слои контейнеров, мобильные приложения, журналы CI и публичные репозитории, где боты находят их за считаные минуты. Реальные кейсы: AWS-ключи в GitHub, Slack-токены в клиентских бандлах, пароли БД, запечённые в Docker-образы. Меры защиты сочетают предотвращение (обучение, pre-commit-хуки, плагины IDE, шаблоны .gitignore), обнаружение (секрет-сканирование репозиториев и CI — GitHub Secret Scanning, Gitleaks, TruffleHog) и централизованное управление секретами (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, External Secrets в Kubernetes). При обнаружении секрет необходимо немедленно ротировать, а не просто удалять из истории.

Защита от Хардкод секретов в коде обычно сочетает технические меры и операционные практики, как описано в определении выше.

Распространённые альтернативные названия: Хардкод учётных данных, Утечка секретов в коде.