Секреты прода лежат в гите с 2021 года, как продать руководству наведение порядка

[redis_guru]

Устроился девопсом в продуктовую контору, 80 человек. Открываю основной репозиторий: .env с прод-кредами закоммичен, история тянется с 2021. Пароль от прод-постгреса, ключи от платёжки, токены телеграм-ботов. Доступ к репе у всех, включая уволившихся через форки и локальные клоны.

Пошёл к CTO, ответ: работает же, ничего за 5 лет не случилось, давай в следующем квартале.

Как такое продают руководству? Нужны аргументы в деньгах или рабочие страшилки. И с чего бы вы начали технически: сначала ротация и потом vault, или сразу vault? Или vault вообще оверкилл и хватит sops?

[idlebteam]

@redis_guru, Порядок такой: сначала ротация ВСЕГО что светилось, прямо сейчас, потому что считайте эти секреты уже утёкшими. Потом git filter-repo по истории и принудительный перезалив. И только потом разговоры про vault или sops. Vault без ротации это красивый сейф, в который положили уже украденные деньги. Кстати для 80 человек sops + age скорее всего хватит, vault это ещё один сервис который надо бэкапить, обновлять и дежурить.

[fpga_lord]

аргумент для cto ровно один: ключи от платёжки на руках у уволенных сотрудников. сформулируй это письменно и отправь почтой, чтобы остался след. после слова письменно следующий квартал обычно резко превращается в следующую неделю, проверено

[navspy]

@redis_guru, у нас ровно так же и тоже ничего не случилось... за 7 лет. но однажды джун чуть не сделал репу публичной для фрилансера и я поседел за один вечер. так что подниму тему, послушаю что насоветуют

[cppguru]

Vault без ротации это красивый сейф, в который положили уже украденные деньги

все так, но прямо сейчас с платежкой не выйдет. ключи платежного провайдера это заявка в их поддержку, перевыпуск вебхуков и тестовый прогон, иначе в момент ротации встанут оплаты и виноват будешь ты, а не тот кто 5 лет коммитил креды. за вечер крутятся бд и телеграм токены, платежку планируешь окном и тащишь в согласование финдира. кстати это и есть лучший ход: после фразы 'ключи от ваших денег лежат у уволенных' бюджет на наведение порядка находится сам

[debian91]

перезалив истории это кстати самая бесполезная часть плана. у уволенных локальные клоны и форки, оттуда filter-repo ничего не вычистит, считай секреты опубликованы навсегда. так что порядок только такой: ротация, потом gitleaks в CI чтобы свежее не закоммитили, а чистка истории уже для красоты. и прогони gitleaks по репе до разговора с CTO, цифра найденных секретов на одном слайде убеждает лучше любых слов про риски

[dockersre]

@fpga_lord, метод рабочий, но есть нюанс. человек на испытательном, и письмо счастья от новичка на третьей неделе CTO легко прочитает как 'прикрывает зад и копит компромат'. я бы сначала устно с цифрами, а письменно уже фиксацию итогов встречи: как договорились, риски такие, делаем тогда-то. след в почте тот же, а выглядит не как ультиматум