Коллега случайно увидел пароль от LDAP админа.
В git-репозитории.
Переменная называлась PASSWORD.
Мы все знаем, что так нельзя.
Но продолжаем.
Проблема
Мы храним креды в коде. Вся индустрия. В репозиториях. В конфигах. В переменных с говорящими названиями типа PASSWORD. И продолжаем пушить это в main, хотя все знаем, что это плохо.
Почему мы в это попадаем
Потому что “здесь так принято”. Потому что быстрее. Потому что автоматизация секретов кажется оверхедом, когда дедлайн через два дня. Потому что “у нас же приватный репозиторий”. Потому что коллега, который полгода назад боролся с такими косяками, сам кладёт cn=admin с паролем в конфиг - и сдаётся.
Это не лень. Это усталость от борьбы с культурой, где “и так сойдёт”.
Что я сам с этим делаю
Подключил автоматический скан при каждом пуше. Да, иногда ложные срабатывания на хэши. Да, раздражает. Но это работает.
Переношу креды в секреты CI/CD, в хранилища вроде Vault, в переменные окружения. Каждый раз. Даже когда кажется, что “это же только для теста”.
Что помогает выйти
Автоматизация + последствия. Инструмент, который не даст закоммитить секрет. В некоторых организациях идут дальше: добавляют автоматическое оповещение отдела ИБ и руководства при каждом срабатывании. А там уже своя политика - где-то просто разговор, где-то влияет на премию. Когда есть реальные последствия - культура меняется быстрее.
Ещё помогает честный разговор: “Я понимаю, что это дольше. Но когда утечёт - будет ещё дольше и дороже”.
Вывод
Ты не обязан продолжать врать себе, что “приватный репозиторий - это безопасно”. Что “потом переделаем”. Что “у нас же не взломают”.
Коллега сегодня узнал пароль от админа LDAP случайно. Завтра - неслучайно узнает кто-то другой.