age + sops : le combo qui remplace GPG pour les secrets dans Git
Stocker des secrets dans Git, tout le monde le dit : c’est une mauvaise pratique. Mais stocker ses secrets dans un vault et ses fichiers de config dans Git, c’est deux sources de vérité qui finissent par dériver. sops résout ça : on commit ses secrets chiffrés avec ses fichiers de config. Un seul dépôt, une seule source de vérité. Au déploiement, le secret est déchiffré à la volée. Setup avec age # Générer une clé age (une ligne) age-keygen -o ~/.config/sops/age/keys.txt # Récupérer la clé publique age-keygen -y ~/.config/sops/age/keys.txt # → age1ql3z7hjy54p3w6d... La config minimale .sops.yaml à la racine du dépôt : ...