Народ, у меня вопрос вот я для интеграционных тестов положил

в папочку docker/configs/server.key и docker/configs/secret.crt

сканер секретов у безопасников разорался "ай ай у вас тут ключи в репозитории"
я говорю "ребята это тесты"
мне в ответ "ничего не знаю убирайте"

это же явно "бумажная безопасность" в деле? или действительно надо убирать?

ну как то генерировать каждый раз это все сильно не хочется

А вдруг ты его потом где-то заиспользуешь в бою или утеряешь случайно :)

ок. какое решение? генерить каждый раз вместе с dhparam на который тоже сканер ругается?

Решение 1: положить в переменную в CI, пользоваться в сиай Решение 2: генерировать новый серт на запуск теста Решение 3: брать из ключницы Но также зависит от контекста. Если безопасники сканируют продовый проект, у которого есть тесты и там есть хардкод, то тут уже люди написали мысли по этому поводу. Если безопасники сканируют отдельный репо с фреймворком тестирования, то я не знаю какая тут может идти речь про прод и тест, если обычно подобные фреймворки это кладезь бэкдоров сразу к ряду проектов

Нет такого понятия - «бумажная безопасность». Есть правила - они придуманы для того, чтобы покрыть максимально проблемы, не остановив delivery нафиг. Исключения из правил - это ручная работа, которой надо всеми силами избегать. Надеюсь в этом мы согласимся. В твоём случае вполне можно обойтись без хранения секретов в гите. Выше уже накидали способов и подходов.

Спасибо. Ок перенесу в ci/cd секреты