シークレット管理の一部はHTTPプロキシに任せるべき

TL;DR

APIキーをローカルプロキシに注入し、アプリコードが本番のクレデンシャルを直接保持しない構成にする。

Key Takeaways

• アプリはローカルプロキシに対して認証し、プロキシが実際のシークレットを実行時に外向きリクエストへ注入する
• GitHub App連携が最も有力なユースケース：ネイティブなトークン自動更新 vs 脆弱な90日PAT（Personal Access Token）ローテーション
• プロキシ自体のセキュリティ確保は引き続き必要——問題を一層移動させるだけで攻撃面は消えない

Discussion

Top comments:

• [MyUltiDev]: GitHub Appのローテーションはここでは実質タダ。PATの期限切れこそがこのアプローチで解決される痛みのポイント

HNで議論を読む

原文（英語）: Some secret management belongs in your HTTP proxy