La rotazione dei secret è la pratica di sostituire credenziali, chiavi API, token, certificati o altri secret con nuovi valori, in modo che qualsiasi copia esposta o rubata non possa più essere utilizzata. Il vecchio secret viene revocato o scade, e i sistemi vengono aggiornati per fidarsi della sostituzione.
È importante perché gli attaccanti spesso cercano secret nel codice sorgente, nei file di configurazione, nelle sessioni del browser, nei log di CI e sulle workstation degli sviluppatori. Se un'estensione, un endpoint o un repository fa trapelare un token, la rotazione limita il raggio d'azione e interrompe l'accesso continuato. Nelle difese reali, i team ruotano i secret dopo una sospetta esfiltrazione, quindi rivedono dove è stato usato il vecchio secret, revocano le sessioni correlate e distribuiscono la nuova credenziale tra app e pipeline. Una buona gestione dei secret significa anche usare token a breve durata, automatizzare la rotazione ed evitare, per quanto possibile, credenziali codificate in modo statico.



