Git não deve guardar segredo em texto puro
Repositórios Git são ótimos para versionar configuração, infraestrutura e manifests. O problema começa quando senhas, tokens e chaves entram em texto puro. SOPS permite criptografar arquivos estruturados, e age oferece criptografia simples baseada em chaves. Juntos, ajudam equipes a versionar segredos de forma mais segura em fluxos GitOps.
Em ambientes com VPS, containers, pipelines e automação, essa abordagem reduz cópias soltas de arquivos sensíveis. O segredo continua no repositório, mas criptografado, revisável e com histórico controlado.
Como o SOPS ajuda
SOPS criptografa valores dentro de YAML, JSON, dotenv e outros formatos, preservando estrutura do arquivo. Isso facilita revisão de chaves, nomes e caminhos sem expor o valor sensível. A equipe consegue ver que um secret mudou sem ler a senha.
Chaves com age
age usa pares de chaves simples. A chave pública criptografa; a privada descriptografa. Controle a distribuição da chave privada com muito cuidado. Se ela vazar, todos os segredos acessíveis por aquela chave precisam ser rotacionados.
GitOps e CI/CD
No pipeline, o segredo deve ser descriptografado apenas no momento necessário e em ambiente confiável. Evite imprimir valores no log. Limite permissões do runner e separe segredos de produção dos de desenvolvimento. Em deploys automatizados, menor privilégio continua essencial.
Rotação e recuperação
Documente quem possui chave, como revogar acesso e como recuperar em caso de perda. Criptografia sem plano de recuperação pode bloquear a própria equipe. Rotacione segredos após saída de colaborador, suspeita de vazamento ou troca de fornecedor.
Referência
As documentações do SOPS e do age explicam uso e modelos de chave.
Conclusão
SOPS e age ajudam a trazer segredos para um fluxo controlado de GitOps sem expor valores em texto puro. A segurança depende de chaves protegidas, CI confiável e rotação bem planejada.
Nenhum comentário ainda. Seja o primeiro a comentar!