Secrets vazam facilmente
API keys, senhas de banco, tokens JWT, chaves SSH e credenciais de SMTP sao secrets. Quando ficam em codigo, repositorio, print de log ou backup publico, qualquer vazamento vira acesso indevido. Secrets management e disciplina de onde guardar, como injetar e como rotacionar credenciais.
Producao exige separacao clara entre configuracao e codigo.
Arquivo .env e variaveis
Arquivo .env local funciona para desenvolvimento. Em producao na VPS, coloque .env fora do document root, com permissoes restritas e fora do Git. Variaveis de ambiente no systemd, Docker ou painel evitam arquivo em disco quando possivel.
Nunca commite .env. Use .env.example com chaves vazias para documentar.
Vault e ferramentas dedicadas
Hashi Vault, AWS Secrets Manager, Doppler e similares centralizam secrets com auditoria, rotacao e acesso por politica. CI/CD busca secret em runtime. Para equipes maiores ou multiplos ambientes, vault reduz risco de credencial espalhada.
Em Servidor Dedicado, restrinja quem acessa vault e logs de leitura.
Rotacao e principio minimo
Troque secrets apos saida de funcionario, incidente ou periodicamente. Cada servico recebe credencial propria, nunca compartilhada. Permissao minima no banco e APIs. Revogue imediatamente o que vazou.
Conclusao
Secrets management protege producao: env seguro, vault quando escala exige, rotacao e nunca no Git. Credencial bem guardada e base de seguranca em qualquer stack.
Nenhum comentário ainda. Seja o primeiro a comentar!