PYMCP_017_SECRETS_FROM_FILES_OR_ENV: Secrets aus _credentials/ oder ENV, niemals im Code
Severity: must. Bereich: python-mcp.
Regel
Tokens, Passwoerter, API-Keys werden aus /var/www/_credentials/<dienst>/credentials.json oder aus Environment-Variablen geladen. Hardcoded Werte im Code sind verboten. Auch Default-Werte fuer Tokens sind verboten.
Reflection-Check
check:
reflect:
fields:
- hardcoded_strings_in_code
- reads_from_credentials_dir
- reads_from_environment
object: secret_profileEvidence
- LOCAL_CREDENTIALS_LAYOUT, Credentials-Verzeichnis-Konvention
- LOCAL_PROJECTCHARAKTERISTIKA, Lokale Projektcharakteristika Library