Como debuggar gerenciamento de secrets em DevOps

"Você é um especialista em segurança de DevOps. Crie um guia passo a passo, detalhado e prático, para uma equipe de desenvolvimento de software que busca migrar seus segredos (chaves de API, senhas de banco de dados, credenciais de serviços em nuvem) atualmente armazenados em variáveis de ambiente para uma solução de gerenciamento de segredos centralizada e segura, como o HashiCorp Vault ou AWS Secrets Manager. O guia deve abordar: 1) A justificativa e os riscos de abordagens legadas. 2) O processo de identificação e inventário de segredos existentes. 3) Critérios de seleção para uma ferramenta de gerenciamento de segredos. 4) O fluxo de trabalho de integração com CI/CD (GitHub Actions, GitLab CI) para acesso programático e rotacionamento de segredos. 5) Boas práticas de segurança, como Least Privilege e auditoria. 6) Estratégias de rollback e recuperação de desastres. O público-alvo são desenvolvedores e engenheiros de DevOps com conhecimento intermediário em infraestrutura e CI/CD."