Una chiave hardcoded è un segreto fisso incorporato direttamente nel software invece di essere generato, archiviato e ruotato tramite un sistema sicuro di gestione dei segreti. Poiché il valore è integrato nel codice o nel binario, chiunque estragga l'applicazione può spesso recuperarlo.
Nella sicurezza informatica, le chiavi hardcoded sono pericolose perché indeboliscono l'autenticazione, la crittografia e l'oscuramento. Se la chiave viene riutilizzata in più installazioni, una sola scoperta può esporre molti sistemi. Gli aggressori possono usarla per decifrare dati, aggirare i controlli di accesso, firmare richieste false o sbloccare funzionalità nascoste. I difensori cercano segreti hardcoded durante il code review, l'analisi binaria e la scansione della supply chain, e li sostituiscono con segreti specifici per ambiente, archiviazione supportata dall'hardware o gestione केंदralizzata delle chiavi. La regola fondamentale è semplice: un segreto che non può essere cambiato è un segreto difficile da difendere.