Хранение секретов в контейнерных образах

Зона ответственности: Printum 
 Коротко: Контейнерные образы Printum не содержат встроенных паролей, токенов, ключей API и других аутентификационных данных. Конфиденциальные параметры передаются в контейнеры во время запуска через переменные окружения. 
 Требование 
 Контейнерные образы не должны содержать аутентификационные данные, токены доступа, пароли и иные секреты в открытом виде. 
 Секреты должны передаваться в приложение отдельно от образа контейнера и не входить в состав публикуемых артефактов. 
 Как это реализовано в Printum 
 Production-образы Мониторинга и ПринтМенеджера не содержат встроенных паролей, токенов, ключей API и иных аутентификационных данных. 
 При сборке образов в них не копируются файлы конфигурации, содержащие секреты, включая файлы переменных окружения и ключи доступа. 
 Конфиденциальные параметры передаются контейнерам во время запуска через переменные окружения, определяемые в файлах конфигурации развертывания. 
 Для production-развертывания используются файлы .env, подключаемые средствами контейнерной платформы. В образах отсутствуют встроенные значения паролей баз данных, токенов интеграций и иных учётных данных. 
 Контейнерные образы публикуются отдельно от конфигурации конкретного заказчика и могут использоваться в различных инсталляциях без хранения индивидуальных секретов внутри образа. 
 Что требуется от инфраструктуры 
 Управление секретами, защита файлов конфигурации и контроль доступа к переменным окружения выполняются средствами инфраструктуры заказчика. 
 Конкретный способ хранения и передачи секретов определяется правилами эксплуатации и требованиями информационной безопасности организации.