Come gestisci i segreti nelle pipeline CI/CD?

Question

Accepted Answer

Le pipeline CI/CD hanno bisogno di **segreti** (chiavi API, credenziali di distribuzione, password del database, token) per compilare e distribuire — ma gestirli in modo non sicuro è un rischio serio. La corretta **gestione dei segreti** mantiene le credenziali al sicuro durante tutta la pipeline.

## Il problema: i segreti non devono mai essere esposti

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Corretta gestione dei segreti

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Best practice

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Perché è importante

Comprendere come gestire i segreti nelle pipeline CI/CD è importante perché la **gestione dei segreti è una preoccupazione di sicurezza critica**, e le pipeline gestiscono credenziali potenti che, se divulgate, possono compromettere interi sistemi, quindi è conoscenza di sicurezza essenziale.

Le pipeline hanno bisogno di segreti (chiavi API, credenziali di distribuzione, password del database) per compilare e distribuire, ma gestirli male è un **rischio di sicurezza serio e comune**.

Comprendere le regole fondamentali — **non codificare mai i segreti nel codice o nella configurazione della pipeline, non eseguire mai il commit su Git** (dove sono esposti nella cronologia, anche se "rimossi" in seguito), e **non stamparli mai nei log** — è essenziale perché questi errori causano fughe di credenziali reali e dannose (le chiavi di distribuzione perdite o le credenziali cloud possono compromettere interi sistemi).

Comprendere la **corretta gestione dei segreti** — utilizzare l'**archivio di segreti crittografati** della piattaforma CI/CD (iniettare i segreti come variabili d'ambiente al runtime piuttosto che archiviarli nella configurazione), utilizzare **gestori dedicati di segreti** (Vault, AWS Secrets Manager per segreti centralizzati, controllati e ruotabili), e fare riferimento ai segreti per nome in modo che la piattaforma inietti i valori in modo sicuro (e li mascheri nei log) — è la conoscenza pratica necessaria per mantenere le credenziali al sicuro.

Comprendere le **best practice** — **minimo privilegio** (le credenziali della pipeline avendo solo i permessi necessari, limitando il raggio d'azione), preferire **credenziali di breve durata/temporanee** (come OIDC per assumere ruoli cloud, evitando completamente di archiviare chiavi di lunga durata — una best practice moderna), **ruotare** i segreti regolarmente e immediatamente se divulgati, e separare i segreti per ambiente — riflette pratiche mature e sicure della pipeline.

Poiché le pipeline CI/CD gestiscono credenziali potenti la cui divulgazione può compromettere i sistemi, e poiché la corretta gestione dei segreti (non codificare/eseguire il commit/registrare mai i segreti, utilizzare archivi/gestori di segreti, minimo privilegio e credenziali di breve durata) è essenziale per prevenire violazioni serie, comprendere come gestire i segreti in CI/CD è conoscenza importante e critica per la sicurezza nella costruzione di pipeline sicure — un'area ad alto rischio dove le pratiche corrette prevengono le fughe di credenziali che sono un rischio reale e dannoso nella distribuzione automatizzata.