Pagina 1 di 1
Le credenziali di un sistema sono il primo bersaglio di chi vuole entrare. Eppure le trovo regolarmente in `.env` committati su repo privati con otto collaboratori, in variabili d'ambiente Docker visibili a chiunque acceda al socket, in `config/database.php` con password in chiaro. Il secrets management non è un dettaglio operativo.
In questa categoria scrivo di secrets management applicato: pattern sicuri per file `.env` in produzione su Laravel e Symfony, pre-commit hook con detect-secrets per prevenire fughe accidentali, deployment di HashiCorp Vault su VPS Linux per gestione multi-ambiente in applicazioni PHP enterprise.
Se vuoi auditare il tuo flow di gestione segreti o introdurre Vault in modo pulito, parliamone. Oppure leggi chi sono per capire l'approccio.
Il file .env in produzione è spesso il punto debole più semplice di tutta la security posture. Ho documentato gli errori che trovo più spesso: .env committato su git, permessi errati, stesso .env per staging e produzione, secrets non ruotati da mesi. Vi mostro i pattern corretti per ogni fase del ciclo di vita. Continua a leggere
Un'API key di produzione finita su GitHub pubblico per errore di un junior. Con pre-commit hooks avrei potuto prevenirlo. Vi mostro il setup che uso su tutti i miei progetti: detect-secrets per le credenziali, PHPStan per i bug evidenti, licenza check e formattazione automatica. Installazione in 10 minuti. Continua a leggere
Le credenziali del database di un cliente erano hardcoded nel file .env committato su un repo privato - privato, ma con accesso a 8 collaboratori. Quando uno di loro ha lasciato l'azienda, abbiamo scoperto che non esisteva un modo rapido per ruotare tutte le credenziali. HashiCorp Vault ha risolto il problema strutturalmente. Continua a leggere
