企業機密資料 secrets 管理採購完整指南封面

企業機密資料 secrets 管理採購完整指南:HashiCorp Vault / AWS Secrets Manager / Doppler / 自架 4 條路徑、5 個決策節點、3 種團隊規模預算

恆遠數位編輯團隊11 分鐘閱讀
複製引文
企業機密資料 secrets 管理採購完整指南封面
企業機密資料 secrets 管理採購完整指南封面

我們最近幫一家客戶做 code review,打開他們的 Git repo 掃了一輪,掃出來的東西讓工程主管臉都綠了:`.env.production` 檔案裡有 47 個 API key、資料庫連線字串、金流平台的密鑰,全都以純文字形式 commit 進 main branch,過去兩年裡經手過的 8 位工程師都能看到。

這是中小企業 secrets 治理最典型的災難。不是被駭客攻擊,而是自己的疏忽把商業機密散播在整個 Git 歷史紀錄裡。離職員工只要 clone 一次 repo,這些 key 帶著走一輩子,你完全查不到誰在用。

2026 年 GitGuardian State of Secrets Sprawl Report 統計:全球 GitHub 公開 repo 每年新增超過 2,300 萬個洩漏的 secrets,其中 65% 來自中小企業。同一份報告指出:secrets 洩漏後平均 5.6 天才會被發現,發現後平均 108 天才會撤銷。攻擊者只要 24 小時就能把 API key 換成現金。

這篇要幫中小企業老闆與工程主管做兩件事:一是拆解為什麼 secrets 管理不能只靠 .env 檔案,二是給你一份 4 條採購路徑的決策框架(HashiCorp Vault / AWS Secrets Manager / Doppler / 自架),以及對應 3 種團隊規模的預算試算。

為什麼 .env 檔案 + Git 這套組合會爛掉?

先講清楚問題本質。多數中小企業工程團隊會用 `.env` 檔案存 secrets,然後把 `.env` 加進 `.gitignore` 避免被 commit。看起來合理,但實際上會在四個地方漏水。

  • 1. 新人 onboard:資深工程師要把 .env 內容用 Slack 私訊給新人,這份訊息永遠不會被撤回。
  • 2. 環境同步:dev / staging / production 三份 .env 不同步,工程師手動維護三份,隨時出錯。
  • 3. 部署:CI/CD 需要 secrets,工程師把 .env 內容以「環境變數」形式塞進 GitHub Actions / GitLab CI,這些歷史記錄一樣不會消失。
  • 4. 稽核:老闆問「上週離職的小陳能拿到我們資料庫的 root 密碼嗎?」工程主管答不出來,因為 .env 完全沒有審計軌跡。

這四個漏水點的共同源頭是「secrets 沒有集中管理平面」。工程師各自持有明文檔案,沒有存取控制、沒有審計 log、沒有 rotation 機制。secrets management 平台的核心價值就是把這四件事集中處理。

4 條採購路徑總覽

市面上 secrets management 大致分四條路徑,分別對應不同規模與雲端策略。

路徑

代表產品

定價(10 人團隊)

雲端綁定

主要適合

純 SaaS 開發者友善

Doppler / Infisical

$0 到 $100 / 月

中小企業首選

主力雲端內建

AWS Secrets Manager / Google Secret Manager

$40 到 $150 / 月

單雲策略

企業級平台

HashiCorp Vault Cloud / CyberArk Conjur

$200 到 $800 / 月

跨雲、法遵嚴格

自架開源

Vault OSS / Infisical OSS / SOPS

伺服器成本 $30 到 $80 / 月 + 工時

有專職 DevOps

這張表看下來,中小企業 10 人以下工程團隊最常見的兩條路:Doppler / Infisical SaaS,或走已經在用的雲端內建(AWS / GCP / Azure)。10 到 50 人團隊有專職 DevOps 才會考慮自架,50 人以上或有法遵需求才會上 HashiCorp Vault Cloud。

路徑一:Doppler / Infisical — 中小企業首選 SaaS

Doppler 跟 Infisical 是這兩年崛起的開發者友善型 secrets management SaaS,設計哲學是「讓工程師不需要學 Vault 那套 policy language 就能上手」。核心 workflow:把 secrets 集中存在 SaaS 後台 → 工程師本地跑 doppler run 自動注入環境變數 → CI/CD 用 service token 拉取。

Doppler 的甜蜜點是「跨環境同步」:dev / staging / production 三份 secrets 集中管理,環境間差異一目瞭然。工程師本地不再需要 .env 檔案,離職時只要撤銷 Doppler 帳號 + rotate 一次 secrets,所有他曾接觸過的 key 一起換掉。

Infisical 是 Doppler 的開源替代品,功能重疊 80%,適合想避開 SaaS 綁定或想自架的團隊。Infisical Cloud 免費層對 5 人以下團隊很友善,付費層從 $8 / 用戶 / 月起。

對比項目

Doppler

Infisical

定價(10 人)

$168 / 月 起

$80 / 月 起

開源

是(MIT)

自架選項

整合數量

150+ 平台

80+ 平台

Audit log 保留

30 到 365 天(依方案)

7 到 90 天

適合

純 SaaS、追求 UX

開源偏好、想保留自架選項

ℹ️我們做過這件事

順帶說一下,我們公司自己內部就在跑類似的 secrets 治理:所有 API key、資料庫密碼、雲端憑證都走集中管理平台,本地開發環境用一鍵注入取代 .env,CI/CD 用 short-lived token 存取。這裡分享的採購決策框架與預算試算,都是我們自己踩過幾套工具、加上替客戶做過導入評估後才寫的。

如果你也在想「我們公司現在的 secrets 到底散在哪裡、誰能看到、離職員工權限有沒有撤乾淨」,這類 secrets 治理與 DevOps 平台建置在我們的 客製化系統開發 服務範圍內。可以把你團隊目前的技術棧丟過來,我們陪你聊聊要怎麼設計最適合你們規模的採購路徑。

路徑二:AWS Secrets Manager / Google Secret Manager — 單雲策略

如果你的基礎架構已經 100% 押在 AWS 或 GCP 上,用該雲端內建的 secrets manager 通常是最省事的選擇。優勢:IAM 權限跟其他 AWS / GCP 服務整合、Lambda / EC2 / Cloud Run 直接抓取不用額外 SDK、rotation 可跟 RDS / Cloud SQL 直接串。

AWS Secrets Manager 定價:每個 secret $0.40 / 月 + API 呼叫每 10,000 次 $0.05。10 人團隊管理 50 個 secrets 加 CI/CD 每月呼叫 20 萬次,月費約 $21 美元。Google Secret Manager 更便宜,每個 secret 每月免費 6 個 access + $0.03 / 10,000 次呼叫。

缺點:跨雲場景(例如 AWS 主力 + Cloudflare Workers + GCP BigQuery)就會變成 3 套 secrets manager 並存,違反「集中管理」原則。這時候該回頭考慮 Doppler / Infisical / Vault 這種雲端無關方案。

路徑三:HashiCorp Vault — 企業級 + 法遵重點

HashiCorp Vault 是這個領域的老牌旗艦,用戶包括 Adobe、Spotify、Uber。核心優勢:dynamic secrets(動態產生短期 credential)、加密即服務、跨雲一致性、極細緻的 policy 語言。這些對大型企業或法遵嚴格的產業(金融、醫療、政府)是必需,對中小企業則是 overkill。

Vault 有兩條走法:HashiCorp Cloud Platform(HCP Vault,SaaS 版)從 $0.03 / 秒 起,10 人團隊月費約 $200 到 $500 美元;Vault OSS 自架是免費但需要專職 DevOps 維護(HA cluster、backup、TLS 憑證、升級測試),實際隱藏成本每月約 $500 到 $1,500 美元的工時。

中小企業什麼時候該考慮 Vault?三個訊號:一是要跨 3 個以上雲端 / 資料中心;二是有金融、醫療、政府法遵稽核;三是需要 dynamic secrets(例如每次 database query 都動態發一個 30 分鐘過期的 credential)。任何一條中就可以考慮,三條全中一定要上。

路徑四:自架開源 — 有專職 DevOps 才考慮

自架路徑主要三個選項:Vault OSS、Infisical OSS、SOPS + KMS。SOPS 是 Mozilla 開源的加密工具,跟 AWS KMS / GCP KMS 搭配用來加密 YAML / JSON 檔案,適合 GitOps 工作流。

自架工具

定位

隱藏工時(月)

主要風險

Vault OSS

企業級功能

20 到 40 小時

升級、HA、憑證輪替

Infisical OSS

開發者友善

10 到 20 小時

升級節奏快、社群小

SOPS + KMS

檔案加密

5 到 10 小時

無 UI、稽核靠 Git log

我們的建議:中小企業沒有 3 位以上專職 DevOps 就別自架 Vault,隱藏工時會吃掉你以為省下的授權費。SOPS + KMS 是「輕自架」的合理選項,適合已在跑 GitOps 且工程團隊有 5 到 15 人的中小企業。

5 個採購決策節點

四條路徑講完,給你 5 個決策節點的判斷框架。走完這 5 個 yes/no,答案通常就浮現了。

節點一:你目前的雲端策略是單雲還是多雲?

100% 押 AWS 或 GCP → 從內建 Secrets Manager 起步。多雲或有 Cloudflare Workers / Vercel / 客戶自有基礎建設 → 走 Doppler / Infisical / Vault。這個決策 60% 的中小企業會落在單雲。

節點二:工程團隊規模?

5 人以下:Infisical Cloud 免費層 / AWS Secrets Manager;5 到 20 人:Doppler / Infisical 付費層;20 到 50 人有 DevOps:可考慮 Vault Cloud 或 Vault OSS 自架;50 人以上或多團隊:Vault 或 CyberArk。

節點三:有法遵稽核需求嗎?

有金融、醫療、政府法遵稽核 → Vault 或 CyberArk(需要 FedRAMP / HIPAA / PCI-DSS 認證)。純電商、SaaS、內容業 → SaaS 級選項通常足夠。

節點四:需要 dynamic secrets 嗎?

Dynamic secrets 是「每次存取都動態發一個短期 credential」,過期後自動撤銷。這個功能對防範 credential leak 極有效,但架構複雜度高。中小企業建議先做好 static secrets rotation(每 90 天輪替),成熟後再考慮 dynamic。

節點五:預算天花板?

$100 / 月以下:Infisical / Doppler Team / AWS Secrets Manager;$100 到 $500 / 月:Doppler Business / Vault Cloud 入門;$500+ / 月:Vault Enterprise / CyberArk。抓預算時記得加上 rotation 工時、CI/CD 整合工時、員工訓練工時。

3 種團隊規模預算試算

把 5 個決策節點套進實際規模,試算三種常見場景的第一年總擁有成本。

規模

推薦組合

授權費 / 年

導入工時

第一年總 TCO

5 人團隊、單雲 AWS

AWS Secrets Manager + 內部 SOP

$250

20 小時

約 NT$40,000

15 人團隊、多雲

Doppler Team + 每季 rotation

$2,000

40 小時

約 NT$110,000

40 人團隊、有法遵

Vault Cloud + 專職 DevOps 半人

$6,000

120 小時

約 NT$550,000

三個規模的共同點:第一年總擁有成本裡「工時」比「授權費」大 3 到 10 倍。這是很多中小企業採購時忽略的隱藏成本——不是買了工具就有 secrets 治理,是「有人願意花時間把它跑起來」才算數。

下一步:把 secrets 治理放進今年 DevOps 路線圖

看到這裡,如果你也在想「我們公司的 secrets 到底散在多少地方、離職員工權限有沒有撤乾淨、CI/CD 用的 token 幾百年沒換」——這些問題我們每次做客戶 code review 都會踩到。

可以把你團隊目前的技術棧、雲端策略、團隊規模丟過來,我們陪你 聊聊哪一條採購路徑最適合,以及 90 天內能落地的最小可行方案是什麼。這階段我們陪你想,後面真的要導入 SaaS 或自架平台再談範圍跟費用。

ℹ️我們怎麼看

Secrets management 這件事很像 2015 年前後的 Git 使用習慣普及:一開始只有大公司做,後來變成任何工程團隊的基本功。我們的判斷是:3 年後中小企業沒有集中式 secrets 平台,會變成投資審核、法遵稽核、大客戶合作審核的直接減分項。對中小企業老闆與工程主管而言,現在不用急著上 HashiCorp Vault 這種企業級平台,但要開始做兩件事:一是選一個入門 SaaS(Doppler / Infisical / AWS Secrets Manager 三選一)先把現有 secrets 集中;二是把「離職員工 24 小時內完成 secrets rotation」寫進 HR SOP。這兩件事花費最少、擋掉的風險最大。

Secrets 治理入門 checklist 下載

把上面 5 個決策節點 + 4 條採購路徑 + 3 種團隊規模預算試算整理成一張 A4 checklist,工程主管與 CTO 可以直接印出來對照現況打勾。下載 Secrets 治理入門 checklist(PDF)

Q我們公司只有 3 位工程師,一定要用 secrets management 平台嗎?

要,但可以走輕量方案。3 位工程師用 Infisical Cloud 免費層或 AWS Secrets Manager 就足夠,重點不是「用什麼工具」,而是「別再把 .env 檔案透過 Slack 私訊傳給新人」。工具選最便宜的都比繼續散亂管理好。

QAWS Secrets Manager 跟 Doppler 選哪個?

看雲端策略。100% AWS → 直接用 AWS Secrets Manager,跟 IAM、Lambda、RDS rotation 整合最順。有多雲或非 AWS 部署(Vercel、Cloudflare Workers、GCP BigQuery)→ 走 Doppler / Infisical,避免多套 secrets manager 並存。

QHashiCorp Vault 自架真的免費嗎?

授權費是免費,但隱藏工時每月 20 到 40 小時(HA cluster 維護、TLS 憑證輪替、升級測試、backup)。10 人以下團隊沒有專職 DevOps,實際成本比 Vault Cloud SaaS 還高。中小企業建議直接走 Doppler / AWS / Vault Cloud。

Q離職員工的 API key 什麼時候該 rotate?

24 小時內。實務做法:HR 系統跟 secrets management 平台整合,員工 offboarding 觸發一個工作流:撤銷帳號 → 標記所有他曾存取的 secrets 為「需要 rotate」→ 工程主管 24 小時內完成 rotation。這比事後追殺離職員工帶走什麼 key 有效 10 倍。

QCI/CD pipeline 需要用 secrets,Doppler 怎麼整合?

用 service token 而不是個人 token。在 Doppler 後台開一個 service token 綁定特定專案 + 環境,設定 IP 白名單只允許 CI/CD 出口 IP,token 存放在 GitHub Actions Secrets / GitLab CI Variables。這樣做可以精準審計「哪次 build 存取了哪些 secrets」,同時撤銷 service token 不影響工程師本地使用。

分享文章

AUTHOR

恆遠數位編輯團隊

查看作者頁

留言(0)

尚無留言,成為第一個留言的人吧!

需要網站系統架設或軟體開發?

無論是品牌官網、客製化系統還是應用程式,我們的團隊擁有豐富經驗,歡迎聯繫我們,讓專業為您的事業加分。