Hoe ga je om met secrets in CI/CD pipelines?

Question

Accepted Answer

CI/CD pipelines hebben **secrets** (API-sleutels, deployment-credentials, databasewachtwoorden, tokens) nodig om te bouwen en in te zetten — maar onveilige omgang ermee is een ernstig risico. Goed **secrets management** houdt credentials veilig in de hele pipeline.

## Het probleem: secrets mogen nooit worden blootgesteld

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Juiste secrets handling

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Best practices

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Waarom het belangrijk is

Inzicht in het omgaan met secrets in CI/CD pipelines is belangrijk omdat **secrets management een kritieke beveiligingskwestie is**, en pipelines gaan om met krachtige credentials die, als ze lekken, hele systemen kunnen compromitteren, dus het is essentiële beveiligingskennis.

Pipelines hebben secrets (API-sleutels, deployment-credentials, databasewachtwoorden) nodig om te bouwen en in te zetten, maar mishandelingen ervan zijn een **ernstig, veel voorkomend beveiligingsrisico**.

Inzicht in de fundamentele regels — **nooit secrets hardcoden in code of pipeline-config, nooit naar Git committen** (waar ze zichtbaar zijn in de geschiedenis, zelfs als ze later "verwijderd" worden), en **nooit in logs afdrukken** — is essentieel omdat deze fouten echte, schadelijke credential leaks veroorzaken (gelekte deployment-sleutels of cloud-credentials kunnen hele systemen compromitteren).

Inzicht in **juiste secrets handling** — het gebruiken van de **encrypted secrets store** van het CI/CD-platform (secrets injecteren als omgevingsvariabelen bij runtime in plaats van ze in config op te slaan), het gebruiken van dedicated **secrets managers** (Vault, AWS Secrets Manager voor gecentraliseerde, geauditeerde, roteerbare secrets), en secrets referentiëren op naam zodat het platform waarden veilig injecteert (en ze in logs maskeert) — is de noodzakelijke praktische kennis voor veilige credentials.

Inzicht in de **best practices** — **least privilege** (pipeline-credentials hebben alleen benodigde machtigingen, beperking van schadebereik), voorkeur voor **short-lived/temporary credentials** (zoals OIDC om cloud-rollen aan te nemen, vermijding van opslag van langdurige sleutels geheel — een moderne best practice), **regelmatige rotatie** van secrets en onmiddellijk bij lekkage, en scheiding van secrets per omgeving — weerspiegelt volwassen, veilige pipeline-praktijken.

Omdat CI/CD pipelines gaan om met krachtige credentials waarvan lekkage systemen kan compromitteren, en omdat juist secrets management (nooit hardcoden/committen/loggen van secrets, secrets stores/managers gebruiken, least privilege, en short-lived credentials) essentieel is om ernstige inbreuken te voorkomen, is het begrijpen hoe je met secrets in CI/CD omgaat belangrijke, beveiligingskritieke kennis voor het bouwen van veilige pipelines — een high-stakes gebied waarin juiste praktijken de credential leaks voorkomen die een echt, schadelijk risico zijn in geautomatiseerde delivery.