Security on FtBx.fr

age + sops : le combo qui remplace GPG pour les secrets dans Git

Sat, 01 Mar 2025 00:00:00 +0000

Stocker des secrets dans Git, tout le monde le dit : c’est une mauvaise pratique. Mais stocker ses secrets dans un vault et ses fichiers de config dans Git, c’est deux sources de vérité qui finissent par dériver.

sops résout ça : on commit ses secrets chiffrés avec ses fichiers de config. Un seul dépôt, une seule source de vérité. Au déploiement, le secret est déchiffré à la volée.

Setup avec age

# Générer une clé age (une ligne)
age-keygen -o ~/.config/sops/age/keys.txt

# Récupérer la clé publique
age-keygen -y ~/.config/sops/age/keys.txt
# → age1ql3z7hjy54p3w6d...

La config minimale .sops.yaml à la racine du dépôt :

age vs GPG : pourquoi j'ai arrêté de m'arracher les cheveux

Mon, 17 Feb 2025 00:00:00 +0000

Pendant des années, chiffrer un fichier c’était : générer une clé GPG, la stocker sur une clé physique, gérer l’expiration, prier pour que le keyring ne soit pas corrompu, et relire la doc GPG pour la trente-septième fois.

age a remplacé tout ça. Une clé publique, une clé privée, zéro concept de keyring. La clé privée tient sur une ligne. La clé publique aussi. C’est tellement simple qu’on peut les stocker dans son gestionnaire de mots de passe.

direnv + .envrc : j'arrête de source des variables à la main

Sun, 22 Sep 2024 00:00:00 +0000

J’en avais assez de taper source .env en entrant dans chaque projet. Et surtout d’oublier de le faire une fois sur trois, et de perdre 10 minutes à comprendre pourquoi la variable d’environnement n’était pas chargée.

direnv règle ça en un hook shell. Tu entres dans un dossier, il exécute .envrc. Tu en sors, il décharge tout. Plus rien à faire.

Mais ce qui change tout, c’est quand on le combine avec un password manager en CLI (pour ma part rbw) pour injecter les secrets automatiquement :