CI/CD : cacher les mots de passe (sans les coller dans Git)
Un secret, c'est un truc qu'on ne montre pas : mot de passe, cle API, certificat. Si tu le mets dans Git, considere-le public.
Les mauvais reflexes
- Fichier
.envcommitte "juste pour tester" - Secret dans un script
- Secret imprime dans les logs de la CI
Les bons reflexes
- Coffre de la CI (GitHub Secrets, variables GitLab masquees…)
- Droits limites : chaque job n'a que ce dont il a besoin
- Rotation : changer une cle compromise rapidement
- Pas de secret dans l'image Docker
Variables vs secrets
Les variables (URL d'API, mode debug) peuvent etre visibles. Les secrets, non. Separe-les clairement. C'est aussi vrai sur Kubernetes.