Resultado visible
Practicarás el ciclo completo de un secreto comprometido: detectar, contener, rotar, actualizar entornos, redeployar, comprobar y prevenir.
Estado roto seguro
Usa únicamente el marcador EXAMPLE_SECRET_DO_NOT_USE. Colócalo en un archivo de laboratorio incluido por error en Git. No imites el formato de una clave real y no uses una credencial válida.
Detección
git grep -n "EXAMPLE_SECRET_DO_NOT_USE"
git log -S "EXAMPLE_SECRET_DO_NOT_USE" --oneline
Comprueba también el bundle servido al navegador y logs de prueba. No imprimas secretos reales durante una auditoría.
Prompt de respuesta
Trata el marcador como un secreto comprometido. No muestres otros valores.
Identifica alcance: archivo, commits, builds y entornos. Propón contención,
revocación/rotación en el proveedor, actualización como variable sensible,
redeploy de preview y producción y prueba posterior. Borrar el texto del
último commit no cuenta como rotación. No reescribas historial compartido
sin un plan aprobado. Añade prevención con .gitignore y secret scanning.
Verificación y restauración
En el laboratorio sustituye el marcador por process.env.EXAMPLE_API_KEY, añade solo el nombre a .env.example y elimina el valor. Simula la rotación anotando antigua revocada / nueva activa sin valores. Confirma que el bundle no lo contiene. Limpia la rama de laboratorio.