Moderne Automatisierungs-Frameworks haben große Fortschritte gemacht – Playwright, Cypress, RestAssured, Cucumber und Selenium ermöglichen es Teams, anspruchsvolle End-to-End-Validierungen über Browser und Dienste hinweg durchzuführen. Aber unter all diesem Fortschritt verbirgt sich ein Risiko, das immer noch erschreckend häufig auftritt: In Testcode oder Umgebungsvariablen fest einprogrammierte Geheimnisse (Passwörter, API-Keys etc.). Das sind keine bloßen theoretischen Risiken. In einem großen Unternehmen enthielt eine Regressionstestsuite für eine interne App sechs Monate zuvor eine Credentials-Datei, die im Klartext committet wurde. Die Automatisierung "funktionierte einfach", aber die Geheimnisse waren nicht nur in .env-Dateien gespeichert – sie wurden auch in Jenkins-Konsolenprotokollen ausgegeben, in Postman-Sammlungen referenziert und über mehrere Forks verteilt. Niemand bemerkte es, bis eine Sicherheitsüberprüfung dies aufdeckte.