Lo que heredan los equipos de plataforma cuando los secrets se desparraman
Nadie sabe quién cambió el token de producción
Alguien rotó el webhook secret de Stripe a las 11pm. El post-mortem empieza con tres hilos de Slack y una conjetura.
Registro de auditoría a prueba de manipulación: usuario, IP, timestamp y diff del valor en cada cambio. Encadenado por hash para que un delete deje rastro.
Todo dev puede leer todo secret
Devs de backend ven claves live de Stripe. Contratistas ven bases de staging. El radio de impacto es toda la empresa.
RBAC por proyecto y acceso por entorno. Cada token con el scope exacto de lectura o escritura que necesita.
El mismo secret vive en doce pestañas de Secrets de GitHub
Rotar significa doce PRs o doce pestañas en el navegador. Para la tercera, dejas de chequear dos veces.
Una bóveda por entorno. Los service tokens traen el valor actual al inicio del job — rotas en un solo lugar.
La disciplina de rotación vive en una planilla
Rotas trimestralmente porque es el recordatorio del calendario — no porque puedas ver qué está por expirar.
Fechas de expiración por secret con avisos en el dashboard, la CLI y el feed de auditoría.
Los controles que un equipo de plataforma realmente opera
SAML SSO en el plan de USD 9
Okta, Azure AD, Google Workspace o cualquier IdP SAML 2.0 — provisionado desde el dashboard, sin call de ventas.
Service tokens con scope
Emite tokens con scope de un entorno, read-only o read/write. Revoca en Envshed y CI deja de hacer pull en segundos.
Registro de auditoría a prueba de manipulación
Cada lectura y escritura encadenada por hash — tu equipo de respuesta a incidentes puede probar la línea de tiempo.
Acceso por entorno
Dev, staging y producción tienen listas de acceso propias. Los tokens de staging no pueden leer producción.
RBAC en org y proyecto
Owner, admin y member en la org. Editor y viewer por proyecto. Promover o degradar es un clic.
GitHub Actions con OIDC
Service token o credencial OIDC de corta duración — el workflow trae los valores actuales en el job, sin secret estático en el runner.
AES-256-GCM en reposo
IV por registro, TLS 1.3 en tránsito, las claves de cifrado se guardan separadas de los datos cifrados.
Expiración por secret
Fuerza una cadencia de rotación. Los avisos disparan antes de que la credencial rompa el deploy.
Precios simples y justos
Empieza gratis. Escala a medida que tu equipo crece. Sin costos ocultos.
Alrededor de un tercio del precio de gestores de secrets comparables
Los gestores de secrets hospedados suelen cobrar entre USD 15 y USD 25 por usuario/mes una vez que pasas su tier gratuito. Envshed cobra USD 5, fijo — sin cotización, sin llamada de ventas.
Desarrollador
$0
Para devs solos y parejas. Todo lo que necesitas para dejar de pegar secretos en Slack.
- Hasta 2 miembros
- Hasta 3 proyectos
- Secretos ilimitados
- Cifrado AES-256-GCM
- Acceso CLI y API
Plan gratis para siempre
Equipo
$5
/usuario/mes
Para equipos de 3+ que despliegan a producción. Miembros ilimitados, registro de auditoría y service tokens listos para CI.
- Miembros ilimitados
- Proyectos ilimitados
- Secretos ilimitados
- Acceso CLI y API
- Webhooks
- Tokens de servicio (CI/CD)
- Registro de auditoría
Cancela cuando quieras
Empresa
$9
/usuario/mes
Para organizaciones que necesitan SSO, soporte prioritario y un proveedor que citar en la revisión de vendors.
- Todo lo de Equipo
- SAML SSO
- Soporte prioritario
Cancela cuando quieras
Sin cargos durante los 14 días de prueba en los planes pagos.