Salaisuuksia, kuten salasanoja, salaamattomia yksityisiä avaimia tai rajapintatunnuksia (API token), ei tule koskaan tallentaa selväkielisenä esimerkiksi versionhallintaan tai Dockerfile-tiedostoon. Pitkäaikaiseen säilöön salaisuudet kannattaa tallettaa salaisuuksienhallintajärjestelmällä. Näitä on erilaisia yksittäisen kehittäjän salasanamanagerista pilviasenteisiin holveihin (’vault’). Salaisuuksista tulisi myös olla varmuuskopio. Pilvipalvelussa olevia konekäyttäjätunnusten salaisuuksia ei saa tallentaa käyttäjien henkilökohtaisiin salaisuuksienhallintajärjestelmiin, kuten salasanamanagereihin. Tällaiset salaisuudet tulee tallentaa esimerkiksi AWS:n Secrets Manageriin. Ihmisten käsittelemien salaisuuksien hallintaan on käytettävä luotettavaa salasanamanageria. Salaisuuksien toimittaminen ajettaville konteille on ympäristökohtainen ongelmakenttä, eikä yleispäteviä ratkaisuja ole helppo antaa. Yleisesti voidaan sanoa, että salaisuuksien viennissä tuotantoon tulisi mieluiten käyttää holvityyppisiä (’vault’) palveluita tai orkestrointityökalun tarjoamia mahdollisuuksia. Mikäli näitä ei ole saatavilla, salaisuudet voidaan laittaa salattuun tiedostoon, joka tallennetaan sopivaan paikkaan, johon kontti pääsee käsiksi. Tarvittava salauksenpurkuavain voidaan toimittaa kontille ympäristömuuttujassa. Käytettäessä ympäristömuuttujia salaisuuksien välittämiseen ne tulisi nollata niiden lukemisen jälkeen, koska monissa virhetilanteissa debug-tuloste sisältää ympäristön sisällön.
| 