⌘K
ENES
GitHub
conceptDevSecOps~1 min de lecturaActualizado Apr 23, 2026

Secrets Management

Definición

Secrets management es el manejo seguro de credenciales, tokens, claves, certificados y otro material sensible a través de desarrollo, build, deployment y runtime.

Por qué importa

Los secrets frecuentemente cruzan trust boundaries entre source control, CI/CD, infraestructura y producción. Un manejo débil convierte conveniencia local en compromiso sistémico. Esta nota trata sobre el lifecycle y exposición del material sensible en sí, no sobre todo el entorno CI/CD ni el modelo de release-governance que lo rodea.

Perspectiva del atacante

Los atacantes buscan:

  • secrets en source control
  • credenciales en logs de CI
  • tokens long-lived en variables de entorno
  • secrets overprivileged reutilizados entre sistemas
  • secrets viejos que nunca se rotaron

Perspectiva del defensor

Los defensores deberían:

  • minimizar dónde existen secrets
  • separar secrets de build-time y runtime
  • rotar y scopear secrets intencionalmente
  • reducir manejo humano de secrets
  • revisar exposición en logs, artifacts y config

Ejemplos prácticos

  • un deploy token se imprime en logs
  • la misma credencial long-lived se reutiliza entre entornos
  • el historial del repo todavía contiene secrets que los equipos asumen que “ya no están”

Notas relacionadas

Referencias

  • Fundamental: NIST SP 800-218 SSDF — https://csrc.nist.gov/pubs/sp/800/218/final
  • Fundamental: OWASP Software Supply Chain Security Cheat Sheet — https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet.html

Notas relacionadas

DevSecOpsArtifact IntegrityArtifact integrity es la garantía de que outputs de build, paquetes, imágenes y artifacts de release no fueron manipulados y pueden trazarse hasta el proceso de build previsto. DevSecOpsASVS como input del proceso de desarrolloEsta nota trata OWASP ASVS no como una checklist post-hoc, sino como un input del proceso de desarrollo para diseñar, revisar y verificar controles técnicos de seguridad durante la implementación. DevSecOpsProtección de ramas y controles de releaseLa protección de ramas y los controles de release son las reglas y mecanismos de governance que determinan quién puede cambiar rutas de código protegidas, aprobar releases y promover artifacts hacia producción. DevSecOpsCI/CD HardeningCI/CD hardening es asegurar el build, test y deployment pipeline para que la automatización se vuelva una ruta de control confiable en vez de un amplificador de ataques. DevSecOpsContainer SecurityContainer security es la práctica de reducir riesgo en cómo las aplicaciones containerizadas se construyen, configuran, shippean y corren. DevSecOpsDependency RiskDependency risk es el riesgo de seguridad introducido por librerías, frameworks y paquetes de terceros directos y transitivos, y por sus patrones de actualización y confianza.