Secrets

Secrets dürfen nicht in Antworten, Logs, Commits oder Dokumentation ausgegeben werden.

Grundregeln

• Echte Secret-Werte niemals dokumentieren.
• In Beispielen nur Platzhalter oder klar fiktive Werte verwenden.
• Wenn Secret-Dateien geprüft werden müssen, nur Existenz, Dateinamen oder nicht-sensitive Metadaten nennen.
• .env ist für nicht-sensitive Konfiguration gedacht.
• Sensible Werte liegen in secrets/ und werden im Container unter /run/secrets gelesen.

Typische Secret-Dateien

• db_password
• jwt_secret
• market_price_sync_secret
• steam_api_key
• csmarket_api_key
• steam_bots_json
• stripe_secret_key
• stripe_webhook_secret
• smtp_user
• smtp_password

Dokumentationsregel

Zulässig:

secrets/stripe_webhook_secret muss vorhanden sein.

Nicht zulässig:

secrets/stripe_webhook_secret = whsec_...