Ich denke das hängt sehr von der Platform ab, die du verwendest.
Die meisten PaaS wie Netlify oder Heroku bieten als eingebaute Mechanismen nur Environment Variables an.
Wenn man Kubernetes nutzt gibt es Secrets, die sind aber auch nicht besonders geschĂĽtzt.
Wenn du AWS/GCP/Azure benutzt gibt es mehr Möglichkeiten, z.B. AWS Secrets Manager.
Eine weitere Lösung wäre Hashicorp Vault, das ist Open Source und Vendor-unabhängig, muss man aber selber hosten (wäre z.B. was für unser Kubernetes Cluster).
Da fehlt jetzt die Quelle. Was ist denn der Angriffsvektor, gegen den du dich verteidigen möchtest?
Bei Github Actions oder Netlify Build ist es ĂĽblich, dass Pull Requests von Outside Contributors ohne Secrets oder nur nach expliziter Zustimmung ausgefĂĽhrt werden. Dadurch kann niemand deine Secrets entwenden.
Ganz grundsätzlich:
Am besten vermeiden, langlebige und statische Secrets zu haben, die Zugriff auf kritische Dinge geben.
Besser ist es, Zugriffsdaten eine begrenzte Laufzeit zu geben und diese automatisch zu erneuern. So kann man bei einem Sicherheitsproblem einfach den Erneuerungsprozess deaktivieren so dass die Zugriffsdaten automatisch auslaufen.
Die Idee hinter dem erwähnten Vault ist bspw, dass Zugriffsdaten (z.B. für Datenbanken) regelmäßig und automatisch neu erzeugt und zur Laufzeit dynamisch an deine Applikation weitergegeben werden.
FĂĽr eine Frontend-App bieten sich Verfahren wie etwa OAuth2 an, das JWTs nutzt, die nur kurz gĂĽltig sind und dann per Refresh Flow erneuert werden mĂĽssen.
Wenn man die Kommunikation von Backends untereinander absichern möchte, lohnt sich auch ein Blick auf Mutual TLS.
