Управление секретами: подъём по лестнице зрелости

Взять небольшой сервис с захардкоженной кредой БД (и/или третьей стороны), закоммиченной в историю git, и привести его к управляемой, сканируемой, least-privilege схеме с короткоживущими секретами — относясь к существующему коммиту как к реальной утечке и доказывая каждую ступень лестницы фактами.

• Начните с сервиса (своего или стартового), у которого правдоподобная креда закоммичена в историю git. Покажите утечку: выведите значение через git log -p и подтвердите, что сканер его помечает.
• Устраните как взлом: ротируйте креду у источника (одноразовый пользователь БД или тестовый API-ключ), запишите, что показывает аудит/лог, затем перепишите историю через git filter-repo и вычистите блоб — и одним предложением объясните, почему именно ротация, а не переписывание, завершила экспозицию.
• Вынесите секрет из кода в .env вне git, затем в secret manager (Vault в dev-режиме, AWS Secrets Manager или SOPS). Приложение должно читать его в рантайме из manager, а не из файла в репозитории.
• Настройте контроль доступа и зафиксируйте аудит: задайте политику, чтобы только идентичность приложения могла читать секрет, затем покажите запись лога, фиксирующую, кто именно и когда читал.
• Добавьте pre-commit сканер секретов (gitleaks или trufflehog) и CI-скан по всей истории; докажите, что он блокирует намеренно повторно внесённый тестовый секрет до пуша.
• Примените least privilege: дайте приложению креду, ограниченную ровно тем, что нужно (например read-only там, где запись не нужна), и покажите, что операция вне прав отклоняется.
• Дойдите до верхней ступени: выпустите динамическую короткоживущую креду (движок database в Vault или эквивалент) с TTL, заставьте приложение её получать и продлевать, и продемонстрируйте, что креда перестаёт работать после истечения TTL.

• До/после утечки: секрет виден в истории git в начале и отсутствует в истории, а креда ротирована (старое значение доказуемо отвергается) в конце.
• Приложение аутентифицируется секретом, взятым из manager в рантайме, с показанной записью аудит-лога, называющей читателя — никакого секрета в репозитории, образе или отслеживаемом файле.
• Сканер блокирует повторно внесённый тестовый секрет на этапе коммита (вставьте вывод хука), а CI-скан проходит на очищенной истории.
• Динамическая креда доказуемо истекает: зафиксированная сессия, работающая внутри TTL и отвергаемая после, плюс один абзац, сопоставляющий каждый шаг со ступенью лестницы зрелости и объясняющий, почему он там.