Which of the following is NOT a way to keep your access token safe?

Alternativa C - Keep your access tokens in a GitHub repository

Análise da Questão

Esta questão aborda práticas de segurança da informação, especificamente o gerenciamento correto de credenciais e tokens de acesso. O objetivo é identificar qual ação representa uma falha de segurança (o que NÃO mantém o token seguro).

Conceito-Chave: Segurança de Tokens

Um access token é uma chave digital que autentica um usuário ou sistema em um serviço. Se comprometido, permite acesso não autorizado a dados sensíveis.

Avaliação das Alternativas

Vamos analisar cada opção para determinar sua segurança:

• Rotacionar tokens (Opcão A): É uma prática recomendada. Trocar senhas/tokens periodicamente limita o tempo que um invasor pode usar um token roubado.
• Armazenar em arquivo .env (Opcão B): É uma prática padrão. Arquivos .env geralmente são ignorados pelo controle de versão (.gitignore), mantendo as chaves fora do código fonte principal.
• Manter em repositório GitHub (Opcão C): INSEGURO. Repositórios podem ser públicos por engano, compartilhados com terceiros ou ter seu histórico acessível. Mesmo em repositórios privados, colocar segredos diretamente no Git é considerado uma falha grave devido à persistência dos dados no histórico de commits.
• Verificar logs de chamadas (Opcão D): É uma medida proativa de monitoramento. Identificar atividade suspeita ajuda a reagir rapidamente a violações.

Comparativo de Segurança

Conclusão

A alternativa correta é a que descreve uma prática arriscada. Manter tokens em um repositório de código (como GitHub) viola os princípios básicos de proteção de credenciais, pois o código-fonte pode se tornar acessível a pessoas não autorizadas.

Portanto, a resposta correta é a Alternativa C.