Kuinka käsittelet salaisuuksia CI/CD-putkissa?

Question

Accepted Answer

CI/CD-putkissa tarvitaan **salaisuuksia** (API-avaimet, käyttöönotto-valtuudet, tietokannan salasanat, tunnisteet) rakentamiseen ja käyttöönottoon — mutta niiden turvaton käsittely on vakava riski. Oikea **salaisuuksien hallinta** pitää valtuudet turvassa koko putkessa.

## Ongelma: salaisuuksia ei saa koskaan paljastaa

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Oikea salaisuuksien käsittely

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Parhaat käytännöt

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Miksi se on tärkeää

Salaisuuksien käsittelyn ymmärtäminen CI/CD-putkissa on tärkeää, koska **salaisuuksien hallinta on kriittinen turvallisuusongelma**, ja putkissa käsitellään voimakkaita valtuuksia, jotka vuotaessaan voivat vaarantaa kokonaisia järjestelmiä, joten se on oleellinen tietoturvaosaaminen.

Putkissa tarvitaan salaisuuksia (API-avaimet, käyttöönotto-valtuudet, tietokannan salasanat) rakentamiseen ja käyttöönottoon, mutta niiden väärinkäsittely on **vakava, yleinen tietoturvarisiko**.

Perusperiaatteiden ymmärtäminen — **älä koskaan kovakoodaa salaisuuksia koodiin tai putkien konfiguraatioon, älä koskaan tallenna niitä Gitiin** (joissa ne ovat näkyvillä historiassa, vaikka niiden jälkeen "poistaisi"), ja **älä koskaan tulosta niitä lokeihin** — on oleellista, koska nämä virheet aiheuttavat todellisia, vahingollisia valtuuksien vuotoja (vuotaneet käyttöönotto-avaimet tai pilvipalveluvaltuudet voivat vaarantaa kokonaisia järjestelmiä).

Oikean salaisuuksien käsittelyn ymmärtäminen — CI/CD-alustan **salatun salaisuusvaraston** käyttäminen (salaisuuksien injektointi ympäristömuuttujiksi ajon aikana sen sijaan, että ne tallennettaisiin konfiguraatioon), erityisten **salaisuuksien hallintajärjestelmien** käyttäminen (Vault, AWS Secrets Manager keskitetyille, tarkasteltaville, uusittaville salaisuuksille), ja salaisuuksiin viittaaminen nimellä niin, että alusta injektoi arvot turvallisesti (ja naamioitsee ne lokeissa) — on välttämätöntä käytännön osaamista valtuuksien pitämiseksi turvassa.

Parhaiden käytäntöjen ymmärtäminen — **vähimmän oikeuksien periaate** (putkien valtuuksilla vain tarvittavat oikeudet, vaurioiden laajuuden rajoittaminen), **lyhytikäisten/väliaikaisten valtuuksien** suosiminen (kuten OIDC pilvipalvelun roolien ottamiseksi, pitkäikäisten avainten tallentamisen välttäminen kokonaan — moderni paras käytäntö), salaisuuksien säännöllinen **uusiminen** ja välitön uusiminen jos ne vuotavat, ja salaisuuksien erottaminen ympäristöittäin — heijastaa kypsää, turvallista putkien käytäntöä.

Koska CI/CD-putkissa käsitellään voimakkaita valtuuksia, joiden vuoto voi vaarantaa järjestelmiä, ja koska oikea salaisuuksien hallinta (ei kovakoodausta/Gitiin tallentamista/lokiintulostusta, salaisuusvarastojen/hallintajärjestelmien käyttäminen, vähimmän oikeuksien periaate ja lyhytikäiset valtuudet) on välttämätöntä vakavien oikeudet pommien estämiseksi, salaisuuksien käsittelyn ymmärtäminen CI/CD-putkissa on tärkeää, turvallisuuskritiikillistä osaamista turvallisten putkien rakentamiseksi — korkean riskin alue, jossa oikeat käytännöt estävät valtuuksien vuotamisen, joka on todellinen, vahingollinen riski automatisoitujen toimitusten yhteydessä.