Очевидно не гуд хранить данные наподобие кредов в открытом виде. Особенно в открытом репозитории.
Для примера есть у нас spring boot application с традиционным applcation.properties в котором удобно прописать урл к базе и логин с паролем. Но ведь этот файл лежит в репозитории и его видно.

Говорят, что безопасно можно хранить в каком-нить Vault( https://www.vaultproject.io/)

Вот собсно спринг команда запилила проект специально для Vault и дала пример:

https://spring.io/guides/gs/vault-config/

В этом примере мы перенесли все данные в Vault но у нас теперь есть токен Vault чтобы обращаться к этому Vault. Да, удобно централизованно управлять конфигурациями, но с точки зрения security если этот токен в репозитории хранить, то это только на один шаг(не самый сложный мягко говоря) усложнит работу хакеру.

Проясните ситуацию, плиз

Spring security тоже хранит пароли в шифрованном виде и по этому хешу нельзя вычислить оригинал, зато легко проверить матчится ли строка на хеш, НО вопрос не про Оракл и не про spring security

Где опасения?

Вопрос про хранение secrets

специальная_админская_шняга это кубернетис например?

Если репка защищена, то можно все конфиги прямо в ней и хранить, но зачем тогда Vault ? Что такого он даёт?

Вот это кстати тема. Действительно, возможно, в Vault можно ограничить доступ для определенной подсети.

Но что-то нагуглить не смог я ничего по запросу Vault ip white listing

PetroNotC Sharp,

PetroNotC SharpДалее, этим паролем нельзя зайти снаружи.


Если вайтлистинг есть?

Какая разница админ юзер или не админ если даже этот юзер может вычистить все данные из таблиц

а если это AWS виртуалка? через ci/cd прокидывать этот файл ? где этот ci/cd будет брать этот файл?

Что такое идентификатор пароля? в чем его предназначение ?