Conas a dhéileálann tú le rúndiamhair i bpíopaláin CI/CD?

Question

Accepted Answer

Teastaíonn **rúndiamhair** (eochracha API, dintiúir imshuites, focail fhaire bunachair, comharthaí) ó phíopaláin CI/CD chun a thógáil agus a imshuiteoir — ach is **riocht an-gheal** a bheith á láimhseáil go míthuisceanach. Coimeádann **bainistíochta rúndiamhair** cearta slán trí fhad an phíopalain.

## An fhadhb: ní foláir go bhforbair rúndiamhair a nochtadh riamh

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Láimhseáil cheart rúndiamhair

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Dea-chleachtais

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Cén fáth a bhíonn sé tábhachtach

Tá sé tábhachtach tuiscint a bheith agat ar conas rúndiamhair a láimhseáil i bpíopaláin CI/CD toisc gur **imthaithe sláinte chriticiúil** a bhíonn i mbainistíochta rúndiamhair, agus go ndéileálann píopaláin le dintiúir cumhachtacha, agus dá ndéanfaí a nochtadh, d'fhéadfaidís na córais ar fad a chur i ngeábhadh, ionas go bhfuil sé riachtanach eolas sláinte.

Teastaíonn rúndiamhair (eochracha API, dintiúir imshuites, focail fhaire bunachair) ó phíopaláin chun a thógáil agus a imshuiteoir, ach is **riocht an-gheal, coitianta sláinte** a bheith á láimhseáil go míthuisceanach.

Ta sé tabhachtach tuigint fhíor-rialacháin — **ná codaigh rúndiamhair riamh i gcód nó i gcumraíochta píopalain, ná tiomáin iad chuig Git** (áit a ndéantar iad a nochtadh i stair, fiú má bhaintear iad as níos déanaí), agus **ná priontáil iad i loganna** — riachtanach toisc go raibh earráidí seo ina gcúis do leakálacha fíor-dhochraite (is féidir le heochracha imshuites nó creidiúintí spéir a nochtadh na córais ar fad a chur i ngeábhadh).

Tá sé riachtanach tuigint **láimhseáil cheart rúndiamhair** — ag baint úsáide as **stóras rúndiamhair criptithe** an phlatfhorm (rúndiamhair a isteach mar athróga timpeallachta ag am runtime seachas iad a stóráil i gcumraíochta), ag baint úsáide as **bainisteoir rúndiamhair tiomnaithe** (Vault, AWS Secrets Manager do rúndiamhair láraithe, dhréachtaithe, inathraithe), agus rúndiamhair a thagartha de réir ainm ionas go ndéanann an platform luachanna a isteach go slán (agus iad a chur faoi dhícheal i loganna) — eolas praiticiúil is gá chun dintiúir a choinneáil slán.

Tá sé tabhachtach tuigint na **dea-chleachtais** — **príobháideacht íosta** (dintiúir phíopalain a bhíonn ag baint ach amháin ceadanna is gá, a theorannú an radharc leata), ag roghnú **creidiúintí gearr-bheo/sealadacha** (cosúil le OIDC chun róil spéir a ghlacadh, a sheachaint stóráil eochair fada-bheo ar fad — dea-dhéanamh nua-aimseartha), **inathrú** rúndiamhair go rialta agus láithreach má leakáiltear iad, agus rúndiamhair a scaradh gach timpeallacht — léiríonn sé cleachtais píopalain aibí, slán.

Nach ndéaleálann píopaláin CI/CD le dintiúir cumhachtacha ar féidir leo na córais a chur i ngeábhadh má leakáiltear iad, agus toisc gur riachtanach láimhseáil cheart rúndiamhair (rúndiamhair a chóid/a iompar/a chóid ní dh'iarrtar, ag baint úsáide as stórais rúndiamhair/bainisteoir, príobháideacht íosta, agus creidiúintí gearr-bheo) a chosc breachanna a bhíonn damanta, tá sé tabhachtach, eolas sláinte chriticiúil a bheith agat ar conas rúndiamhair a láimhseáil i bpíopaláin CI/CD chun píopaláin dhlúth-bheo a thógáil — réimse ard-geábhadh áit a bhíonn cleachtais cheart ag cosc na leakálacha creidiúinte atá i ngeábhadh fíor, damanta i seachadadh uathoibríoch.