Administracja
Klucze API/Webhooki
Bezpiecznie przygotuj integracje bez ujawniania sekretów w UI.
Klucze API i sekrety webhooków umożliwiają dostęp maszynowy i muszą być traktowane jak dane logowania. Nie mogą trafić do kodu klienta, zrzutów, zgłoszeń ani publicznych repozytoriów.
Utworzenie klucza
Twórz klucz tylko dla potrzebnego obszaru i celu. Nadaj jasną nazwę, ogranicz uprawnienia i od razu zapisz wartość w menedżerze sekretów.
Bezpieczne użycie
Wysyłaj żądania wyłącznie przez TLS, egzekwuj uwierzytelnianie i limity oraz nie loguj pełnych kluczy. Odbiorca webhooka musi sprawdzać podpis i kontekst czasowy.
Rotacja i unieważnienie
Rotuj regularnie i natychmiast po podejrzeniu ujawnienia. Unieważnij stary klucz dopiero po kontrolowanym przełączeniu zależnych systemów, a następnie sprawdź błędy i dostarczenia.
