Hvordan håndterer du hemmeligheder i CI/CD-pipelines?

Question

Accepted Answer

CI/CD-pipelines har brug for **hemmeligheder** (API-nøgler, deploymentlegitimationsoplysninger, databaseadgangskoder, tokens) til at bygge og deploye — men usikker håndtering af dem er en alvorlig risiko. Korrekt **hemmeligheds­håndtering** holder legitimationsoplysninger sikre gennem hele pipelinen.

## Problemet: hemmeligheder må aldrig blive afsløret

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Korrekt hemmeligheds­håndtering

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Bedste praksis

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Hvorfor det betyder noget

At forstå, hvordan man håndterer hemmeligheder i CI/CD-pipelines, er vigtigt, fordi **hemmeligheds­håndtering er et kritisk sikkerhedsspørgsmål**, og pipelines håndterer kraftfulde legitimationsoplysninger, som, hvis de bliver lækket, kan kompromittere hele systemer, så det er vigtig sikkerhedsviden.

Pipelines har brug for hemmeligheder (API-nøgler, deploymentlegitimationsoplysninger, databaseadgangskoder) til at bygge og deploye, men forkert håndtering af dem er en **alvorlig, almindelig sikkerhedsrisiko**.

At forstå de grundlæggende regler — **hardcode aldrig hemmeligheder i kode eller pipelineconfig, commit dem aldrig til Git** (hvor de bliver afsløret i historikken, selv hvis de fjernes senere), og **udskriv dem aldrig i logs** — er vigtig, fordi disse fejl forårsager virkelige, skadelige legitimationslækager (lækket deploymentnøgler eller cloudlegitimationsoplysninger kan kompromittere hele systemer).

At forstå **korrekt hemmeligheds­håndtering** — brug af CI/CD-platformens **krypterede hemmeligheds­lager** (injektion af hemmeligheder som miljøvariabler under kørslen i stedet for lagring i config), brug af dedikerede **hemmeligheds­håndterere** (Vault, AWS Secrets Manager til centraliseret, revideret, roterbar hemmeligheds­håndtering), og reference til hemmeligheder efter navn, så platformen injicerer værdier sikkert (og maskerer dem i logs) — er den nødvendige praktiske viden til at holde legitimationsoplysninger sikre.

At forstå **bedste praksis** — **mindste privilegie** (pipelinelegitimationsoplysninger, der kun har nødvendige tilladelser, hvilket begrænser skadesomfanget), at foretrække **kortvarige/midlertidige legitimationsoplysninger** (som OIDC til at antage cloudroller, hvilket undgår lagring af langvarige nøgler helt sammen — en moderne bedste praksis), **rotation** af hemmeligheder regelmæssigt og øjeblikkeligt, hvis de bliver lækket, og adskillelse af hemmeligheder pr. miljø — afspejler mogen, sikker pipelinepraksis.

Fordi CI/CD-pipelines håndterer kraftfulde legitimationsoplysninger, hvis lækage kan kompromittere systemer, og fordi korrekt hemmeligheds­håndtering (aldrig hardcoding/commit/logging af hemmeligheder, brug af hemmeligheds­lagre/håndterere, mindste privilegie og kortvarige legitimationsoplysninger) er vigtig til at forhindre alvorlige brud, er forståelse af, hvordan man håndterer hemmeligheder i CI/CD, vigtig, sikkerhedskritisk viden for opbygning af sikre pipelines — et område med høj indsats, hvor korrekt praksis forhindrer de legitimationslækager, som er en virkelig, skadelig risiko i automatiseret levering.

Problemet: hemmeligheder må aldrig blive afsløret

Korrekt hemmeligheds­håndtering

Bedste praksis

Hvorfor det betyder noget

Korrekt hemmelighedshåndtering