Hogyan kezelsz titkokat a CI/CD pipelineokban?

Question

Accepted Answer

A CI/CD pipelineoknak **titkokra** van szükségük (API kulcsok, telepítési hitelesítő adatok, adatbázis jelszavak, tokenek) a build és deploy folyamatokhoz — de a nem biztonságos kezelésük komoly kockázat. A megfelelő **titkokkezelés** biztosítja, hogy a hitelesítő adatok biztonságosak maradjanak az egész pipeline alatt.

## A probléma: titkokat soha nem szabad felfedni

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Megfelelő titkokkezelés

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Legjobb gyakorlatok

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Miért fontos

A CI/CD pipelineokban a titkokkezelés megértése fontos, mert **a titkokkezelés kritikus biztonsági kérdés**, a pipelineok pedig erőteljes hitelesítő adatokat kezelnek, amelyek kiszivárogása esetén akár egész rendszereket veszélyeztethetnek, ezért ez elengedhetetlen biztonsági tudás.

A pipelineoknak titkokra van szükségük (API kulcsok, telepítési hitelesítő adatok, adatbázis jelszavak) a build és deploy folyamatokhoz, de a helytelen kezelésük **komoly, gyakori biztonsági kockázat**.

A alapvető szabályok megértése — **soha nem szabad titkokat a kódba vagy pipeline konfigurációba hardkódolni, soha nem szabad azokat a Git-be commitolni** (ahol az előzményekben vannak, még akkor is, ha később "eltávolítják"), és **soha nem szabad azokat a logokba kiírni** — elengedhetetlen, mert ezek a hibák valós, káros hitelesítő adat kiszivárgásokat okoznak (a kiszivárgott telepítési kulcsok vagy felhőhitelesítő adatok egész rendszereket veszélyeztethetnek).

A **megfelelő titkokkezelés** megértése — a CI/CD platform **titkosított titkotárolójának** használata (titkok injektálása környezeti változókként futásidőben ahelyett, hogy azokat a konfigurációban tárolnánk), dedikált **titkokkezelők** használata (Vault, AWS Secrets Manager a centralizált, auditált, elforgatható titkokhoz), valamint a titkokra név alapján történő hivatkozás, hogy a platform biztonságosan injektálja az értékeket (és maszkírozza azokat a logokba) — a szükséges gyakorlati tudás a hitelesítő adatok biztonságban tartásához.

A **legjobb gyakorlatok** megértése — a **legkisebb jogosultság elve** (pipeline hitelesítő adatok csak szükséges engedélyekkel, a kockázat terjedésének korlátozása), a **rövid élettartamú/átmeneti hitelesítő adatok** előnyben részesítése (mint az OIDC a felhői szerepek feltételezéséhez, hosszú élettartamú kulcsok tárolásának elkerülése — modern legjobb gyakorlat), a titkok **rendszeres elforgatása** és azonnali csere, ha kiszivárognak, valamint a titkok elkülönítése környezetenként — a fejlett, biztonságos pipeline gyakorlatokat tükrözik.

Mivel a CI/CD pipelineok erőteljes hitelesítő adatokat kezelnek, amelyeknek a kiszivárgása rendszereket veszélyeztethet, és mivel a megfelelő titkokkezelés (soha nem hardkódolás/commitálás/logolás, titkotárolók/titkokkezelők használata, legkisebb jogosultság és rövid élettartamú hitelesítő adatok) elengedhetetlen a komoly sérelmetlenséghez, a titkokkezelés megértése a CI/CD pipelineokban fontos, biztonsági szempontból kritikus tudás a biztonságos pipelineok felépítéséhez — egy magas tétű terület, ahol a megfelelő gyakorlatok megakadályozzák az automatizált szállításban a valós, káros kockázatot jelentő hitelesítő adat kiszivárgásokat.