Kako upravljati tajnama u CI/CD cjevovodima?

Question

Accepted Answer

CI/CD cjevovodi trebaju **tajne** (API ključeve, akredencijale za implementaciju, lozinke baze podataka, tokene) za izgradnju i implementaciju — no nesiguran njihov rukovanje predstavlja ozbiljan rizik. Pravilno **upravljanje tajnama** čuva akredencijale sigurnim tijekom cijelog cjevovoda.

## Problem: tajne se nikada ne smiju izložiti

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Pravo rukovanje tajnama

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Najbolje prakse

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Zašto je to važno

Razumijevanje kako upravljati tajnama u CI/CD cjevovodima je važno jer je **upravljanje tajnama kritična sigurnosna briga**, a cjevovodi rukuju moćnim akredencijalima koji bi, ako bi procurili, mogli kompromitirati cijele sustave, što je zato nužno sigurnosno znanje.

Cjevovodi trebaju tajne (API ključeve, akredencijale za implementaciju, lozinke baze podataka) za izgradnju i implementaciju, no loš njihov rukovanje je **ozbiljan, čest sigurnosni rizik**.

Razumijevanje temeljnih pravila — **nikada ne kodirati tajne u kodu ili konfiguraciji cjevovoda, nikada ih ne commitati u Git** (gdje su izložene u povijest, čak i ako se kasnije "uklone"), i **nikada ih ne ispisivati u zapisnicima** — je nužno jer ove greške uzrokuju stvarne, štetne procure akredencijala (procurili ključevi implementacije ili cloud akredencijali mogu kompromitirati cijele sustave).

Razumijevanje **pravilnog rukovanja tajnama** — korištenje **šifriranog spremišta tajni** platforme (injektiranje tajni kao varijabli okruženja tijekom izvođenja umjesto njihovog pohranjavanja u konfiguraciji), korištenje namjenskog **upravitelja tajni** (Vault, AWS Secrets Manager za centralizirane, revidirane, rotacijske tajne), i referenciranje tajni po imena tako da platforma injektira vrijednosti sigurno (i maskirа ih u zapisnicima) — je nužno praktično znanje za čuvanje akredencijala sigurnima.

Razumijevanje **najboljih praksi** — **najmanja privilegija** (akredencijali cjevovoda imaju samo potrebne dozvole, ograničavajući radijus štete), preferiranje **kratkoživućih/privremenih akredencijala** (kao što je OIDC za pretpostavljivanje cloud uloga, izbjegavajući pohranjavanja dugotrajnih ključeva — modernu najbolju praksu), **rotacija** tajni redovito i odmah ako procure, i odvajanje tajni po okruženju — odražavaju zrele, sigurne prakse cjevovoda.

Budući da CI/CD cjevovodi rukuju moćnim akredencijalima čija procura može kompromitirati sustave, a budući da je pravo upravljanje tajnama (nikada kodiranje/commitanje/ispisivanje tajni, korištenje spremišta tajni/upravitelja, najmanja privilegija i kratkoživući akredencijali) nužno za sprječavanje ozbiljnih kršenja, razumijevanje kako upravljati tajnama u CI/CD-u je važno, sigurnosno kritično znanje za izgradnju sigurnih cjevovoda — visoko-rizično područje gdje pravilne prakse sprječavaju procure akredencijala koje su stvaran, šetan rizik u automatizirano isporuci.