PYMCP_017_SECRETS_FROM_FILES_OR_ENV: Secrets aus _credentials/ oder ENV, niemals im Code

Severity: must. Bereich: python-mcp.

Regel

Tokens, Passwoerter, API-Keys werden aus /var/www/_credentials/<dienst>/credentials.json oder aus Environment-Variablen geladen. Hardcoded Werte im Code sind verboten. Auch Default-Werte fuer Tokens sind verboten.

Reflection-Check

check:
  reflect:
    fields:
    - hardcoded_strings_in_code
    - reads_from_credentials_dir
    - reads_from_environment
    object: secret_profile

Evidence

alle Regeln dieses Bereichs