Bagaimanakah anda mengendalikan secrets dalam pipeline CI/CD?

Question

Accepted Answer

Pipeline CI/CD memerlukan **secrets** (API keys, deployment credentials, kata laluan pangkalan data, tokens) untuk membina dan menyebarkan — tetapi mengendalikannya secara tidak selamat ialah risiko serius. **Pengurusan secrets** yang betul memastikan credentials selamat sepanjang pipeline.

## Masalah: secrets tidak boleh sekali-kali terdedah

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Pengendalian secrets yang betul

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Amalan terbaik

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Mengapa ia penting

Memahami cara mengendalikan secrets dalam pipeline CI/CD adalah penting kerana **pengurusan secrets ialah kebimbangan keselamatan yang kritikal**, dan pipeline mengendalikan credentials berkuasa yang, jika bocor, boleh menjejaskan keseluruhan sistem, jadi ia merupakan pengetahuan keselamatan yang penting.

Pipeline memerlukan secrets (API keys, deployment credentials, kata laluan pangkalan data) untuk membina dan menyebarkan, tetapi mengendalikannya secara salah ialah **risiko keselamatan yang serius dan lazim**.

Memahami peraturan asas — **jangan sekali-kali hardcode secrets dalam kod atau pipeline config, jangan sekali-kali commit ke Git** (di mana ia terdedah dalam sejarah, walaupun "dibuang" kemudian), dan **jangan sekali-kali cetak dalam logs** — adalah penting kerana kesilapan ini menyebabkan kebocoran credentials yang sebenar dan merosakkan (deployment keys atau cloud credentials yang bocor boleh menjejaskan keseluruhan sistem).

Memahami **pengendalian secrets yang betul** — menggunakan **secrets store yang disulitkan** platform CI/CD (menyuntik secrets sebagai environment variables pada runtime dan bukan menyimpannya dalam config), menggunakan **secrets managers** khusus (Vault, AWS Secrets Manager untuk secrets yang terpusat, diaudit, dan boleh diputar), dan merujuk secrets mengikut nama supaya platform menyuntik nilai dengan selamat (dan menutupnya dalam logs) — ialah pengetahuan praktikal yang perlu untuk memastikan credentials selamat.

Memahami **amalan terbaik** — **least privilege** (pipeline credentials hanya mempunyai keizinan yang diperlukan, mengehadkan blast radius), mengutamakan **credentials jangka pendek/sementara** (seperti OIDC untuk menganggap cloud roles, mengelakkan menyimpan long-lived keys sepenuhnya — amalan terbaik moden), **memutar** secrets dengan kerap dan serta-merta jika bocor, dan mengasingkan secrets mengikut environment — mencerminkan amalan pipeline yang matang dan selamat.

Memandangkan pipeline CI/CD mengendalikan credentials berkuasa yang kebocorannya boleh menjejaskan sistem, dan memandangkan pengurusan secrets yang betul (tidak sekali-kali hardcoding/committing/logging secrets, menggunakan secrets stores/managers, least privilege, dan credentials jangka pendek) adalah penting untuk mencegah pelanggaran serius, memahami cara mengendalikan secrets dalam CI/CD ialah pengetahuan penting dan kritikal-keselamatan untuk membina pipeline yang selamat — bidang berisiko tinggi di mana amalan yang betul mencegah kebocoran credentials yang merupakan risiko sebenar dan merosakkan dalam penyampaian automatik.