Kaip tvarkyti paslaptis CI/CD konveijeruose?

Question

Accepted Answer

CI/CD konvejeriai reikalingi **paslaptims** (API raktams, diegimo kredencialams, duomenų bazės slaptažodžiams, žetonams), kad būtų galima kurti ir diegti — tačiau nesaugus jų tvarkymas yra rimta rizika. Tinkama **paslaptžių valdymas** leidžia kredencialams likti saugiems visame konvejerio procese.

## Problema: paslapties niekada neturi būti atsiskleistos

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Tinkamas paslaptžių tvarkymas

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Geriausia praktika

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Kodėl tai svarbu

Suprasti, kaip tvarkyti paslaptis CI/CD konveijeruose, svarbu, nes **paslaptžių valdymas yra kritinis saugumo klausimas**, o konvejeriai tvarko galingus kredencialus, kurie, jei būtų nutekinti, gali sukomprometoti visas sistemas, todėl tai yra esminės saugumo žinios.

Konvejeriai reikalingi paslaptims (API raktams, diegimo kredencialams, duomenų bazės slaptažodžiams), kad būtų galima kurti ir diegti, tačiau jų netinkamas tvarkymas yra **rimta, dažna saugumo rizika**.

Suprasti pagrindinius taisykles — **niekada nekoduoti paslaptžių kode arba konvejerio konfigūracijoje, niekada neperrašyti jų į Git** (kur jos atsiskleidžia istorijoje, net jei vėliau yra „pašalintos"}, ir **niekada nespausdinti jų žurnaluose** — yra esmingas, nes šios klaidos sukelia tikrus, žalingus kredencialų nutekinimus (nutekinti diegimo raktai arba debesų kredencialai gali sukomprometoti visas sistemas).

Suprasti **tinkamą paslaptžių tvarkymo procesą** — naudoti CI/CD platformos **šifruotą paslaptžių saugyklą** (paslaptyse sukeliant jomis kaip aplinkos kintamieji paleidimo metu, o ne saugant jas konfigūracijoje), naudoti skirtus **paslaptžių valdytojus** (Vault, AWS Secrets Manager centralizuotam, audituojamam, pasukamam paslaptžių valdymui}, ir nuorodyti paslaptis pagal vardą, kad platforma saugiai įjungtų reikšmes (ir jas paslėptų žurnaluose} — yra reikalinga praktinė žinios kredencialų saugumui užtikrinti.

Suprasti **geriausią praktiką** — **mažiausia privilegija** (konvejerio kredencialai turėdami tik reikalingas teises, ribodami pažeidimo apimtį}, pageidaujant **trumpaamžių/laikinų kredencialų** (tokių kaip OIDC, kad būtų prisisupta debesų vaidmenims, visiškai nesaugant ilgaamžių raktų — moderni geriausia praktika}, **pasukant** paslaptis reguliariai ir nedelsiant, jei jos nutekėjo, ir skirdami paslaptis kiekvienai aplinkai — atspindi brandžią, saugią konvejerio praktiką.

Kadangi CI/CD konvejeriai tvarko galingus kredencialus, kurių nutekėjimas gali sukomprometoti sistemas, o kadangi tinkamas paslaptžių valdymas (niekada nekodavus/neperrašant/nespausdinant paslaptžių, naudojant paslaptžių saugyklas/valdytojus, mažiausią privilegiją ir trumpaamžius kredencialus) yra esmingas, siekiant užkirsti kelią rimtiems pažeidimams, supratimas, kaip tvarkyti paslaptis CI/CD konveijeruose, yra svarbi, kritinio saugumo žinios, reikalingos saugiems konveijerians kurti — tai aukšto nuotolio sritis, kurioje tinkama praktika užkerta kelią nutekintų kredencialų, kurie yra tikra, žalinga rizika automatizuotame pristatymo procese.