SOPS es un editor de archivos encriptados que admite varios formatos de encriptación con KMS. Nuestro consejo sobre la gestión de secretos siempre ha sido mantenerlos fuera del código. No obstante, al tener que elegir entre la automatización completa (apegándonos al principio de infraestructura como código) y algunos pasos manuales (utilizando herramientas de tipo Vault) para la administración, aprovisionamiento y rotación de secretos iniciales, los equipos frecuentemente se encuentran frente un dilema. Por ejemplo, nuestros equipos utilizan SOPS para gestionar las credenciales de inicialización en el aprovisionamiento de infraestructura. Sin embargo, hay situaciones en las que es imposible eliminar secretos de los repositorios con código heredado. En esos casos, recurrimos a SOPS para encriptar secretos en archivos de texto. SOPS se integra con almacenes de claves gestionados en la nube, como AWS y GCP Key Management Service (KMS) o Azure Key Vault como fuente de las claves de encriptación. También funciona de manera multiplataforma y admite claves PGP. Muchos de nuestros equipos optan por SOPS como su primera opción para gestionar secretos en el repositorio.
Nuestro consejo en lo que respecta a la gestión de secretos siempre ha sido desvincularlo del código original. Sin embargo, los equipos se enfrentan a menudo a la disyuntiva entre la automatización total (con el enfoque de infraestructura como código) y unos pocos pasos manuales (utilizando herramientas como las cajas fuertes) para gestionar, seleccionear y rotar secretos semilla. Por ejemplo, nuestros equipos utilizan SOPS para gestionar las credenciales semilla para arrancar la infraestructura. En algunas situaciones, sin embargo, es imposible eliminar los secretos de repositorios de código heredado. Para tales necesidades, encontramos que Mozilla SOPS es una buena opción para cifrar secretos en archivos de texto. SOPS se integra con almacenes de claves gestionados en la nube como AWS y GCP Key Management Service (KMS) o Azure Key Vault como fuentes de claves de cifrado. También funciona multiplataforma y admite claves PGP.
Los secrets en texto plano registrados en el control de código fuente (normalmente Github) son uno de los errores de seguridad más comunes que cometen los desarrolladores. Por esta razón pensamos que es útil presentar Mozilla Sops, una herramienta para encriptar secrets en archivos de texto que nuestros desarrolladores encuentran útil en situaciones en las que es imposible eliminar los secrets de los repositorios de código heredados. Ya hemos mencionado muchas herramientas de este tipo (Blackbox, git-crypt), pero Sops tiene varias características que lo diferencian. Por ejemplo, Sops se integra con almacenes de claves(keystores) gestionados en la nube, como AWS y GCP Key Management Service (KMS) o Azure Key Vault, como fuentes de claves de cifrado. También funciona en varias plataformas y es compatible con las PGP keys . Esto permite un control de acceso detallado a los secrets de archivo por archivo. Sops deja la key de identificación en texto plano para que los secrets puedan seguir siendo localizados y difundidos por git. Siempre apoyamos cualquier cosa que facilite la seguridad de los desarrolladores; sin embargo, recuerda que, para empezar, no tienes que mantener los secrets en el control de código. Consulta Desacoplar la gestión de secrets del código fuente en nuestra edición de noviembre de 2017.