SEC_010_SECRETS_NEVER_IN_REPO_OR_CLIENT: Secrets liegen nicht im Repo oder Client
Severity: must. Bereich: security.
Regel
Secrets DUERFEN nicht versioniert, in HTML/JS ausgeliefert oder geloggt werden; Speicherung, Zugriff und Rotation MUESSEN dokumentiert sein.
Reflection-Check
check:
reflect:
object: secretEvidence
- OWASP_SECRETS, OWASP Secrets Management Cheat Sheet