Почему конфигурационные данные (хосты, пароли, токены) нельзя хранить в коде в явном виде и где их хранить?

Почему нельзя хранить секреты в коде?

Хранение паролей, токенов и ключей API непосредственно в исходном коде нарушает принцип безопасности и принципы двенадцатифакторного приложения. Если код попадает в публичный репозиторий, секреты становятся доступны злоумышленникам. Даже в приватных репозиториях доступ к коду имеют несколько разработчиков, что увеличивает риск утечки.

Где хранить конфигурацию?

• Переменные окружения — простой и эффективный способ для большинства приложений. Они не попадают в код и легко меняются для разных сред.
• Специализированные сервисы — HashiCorp Vault, AWS Secrets Manager, Azure Key Vault. Предоставляют шифрование, аудит доступа и ротацию секретов.
• Зашифрованные файлы — например, с помощью Ansible Vault или git-crypt. Файлы хранятся в репозитории, но зашифрованы.

Пример использования переменных окружения

// Плохо: секрет в коде
const dbPassword = 'my_secret_password';

// Хорошо: секрет из окружения
const dbPassword = process.env.DB_PASSWORD;

// Запуск приложения с переменной
// DB_PASSWORD=real_secret node app.js

Вывод: Используйте переменные окружения для простых проектов и специализированные сервисы для корпоративных решений. Никогда не коммитьте секреты в репозиторий.