Wie verwaltest du Geheimnisse in CI/CD-Pipelines?

Question

Accepted Answer

CI/CD-Pipelines benötigen **Geheimnisse** (API-Schlüssel, Deployment-Anmeldedaten, Datenbankpasswörter, Tokens) zum Erstellen und Bereitstellen — aber unsichere Behandlung ist ein ernstes Risiko. Ordnungsgemäße **Geheimnisse-Verwaltung** hält Anmeldedaten während der gesamten Pipeline sicher.

## Das Problem: Geheimnisse dürfen niemals offengelegt werden

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Ordnungsgemäße Geheimnisse-Behandlung

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Best Practices

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Warum es wichtig ist

Zu verstehen, wie man Geheimnisse in CI/CD-Pipelines verwaltet, ist wichtig, weil **Geheimnisse-Verwaltung ein kritisches Sicherheitsanliegen ist**, und Pipelines mit leistungsstarken Anmeldedaten umgehen, die bei Lecks ganze Systeme kompromittieren können, daher ist es wesentliches Sicherheitswissen.

Pipelines benötigen Geheimnisse (API-Schlüssel, Deployment-Anmeldedaten, Datenbankpasswörter) zum Erstellen und Bereitstellen, aber Misshandlung ist ein **ernstes, häufiges Sicherheitsrisiko**.

Die grundlegenden Regeln verstehen — **Geheimnisse niemals in Code oder Pipeline-Konfiguration hardcodieren, niemals in Git committen** (wo sie in der Historie offengelegt werden, auch wenn sie später „entfernt