Как тестировать API ключи и secrets management?

Тестируем что секреты правильно управляются. Что проверяем: API ключи не в коде (git grep для поиска), не в логах (нет в access logs, error logs), не в API ответах, не в JavaScript bundled коде (source maps, JS файлы). Rotation: старые ключи инвалидируются при ротации. Environment specific keys: prod и staging используют разные ключи. Scope: ключи имеют минимальные права. Инструменты: truffleHog, gitleaks сканируют git историю на случайные commits с секретами. GitHub secret scanning.