Hvordan håndterer du hemmeligheter i CI/CD-pipelines?

Question

Accepted Answer

CI/CD-pipelines trenger **hemmeligheter** (API-nøkler, distribusjonsinformasjon, databasepassord, tokens) for å bygge og distribuere — men hvis de håndteres usikkert, er det en alvorlig risiko. Riktig **hemmelighetshåndtering** holder legitimasjon sikker gjennom hele pipeline.

## Problemet: hemmeligheter må aldri eksponeres

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Riktig hemmelighetshåndtering

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Best practices

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Hvorfor det er viktig

Å forstå hvordan man håndterer hemmeligheter i CI/CD-pipelines er viktig fordi **hemmelighetshåndtering er en kritisk sikkerhetsbetingelse**, og pipelines håndterer kraftige legitimasjonsfiler som, hvis de lekkes, kan kompromittere hele systemer, så det er viktig sikkerhetskunnskap.

Pipelines trenger hemmeligheter (API-nøkler, distribusjonsinformasjon, databasepassord) for å bygge og distribuere, men feilhåndtering av dem er en **alvorlig, vanlig sikkerhetrisiko**.

Å forstå grunnleggende regler — **aldri hardkode hemmeligheter i kode eller pipeline-config, aldri commit dem til Git** (der de eksponeres i historikken, selv hvis de fjernes senere), og **aldri skriv dem ut i logger** — er essensielt fordi disse feilene forårsaker virkelige, skadelige legitimasjonslekker (lekkede distribusjonstaster eller skylegitimasjon kan kompromittere hele systemer).

Å forstå **riktig hemmelighetshåndtering** — bruke CI/CD-plattformens **kryptert hemmelighetslagring** (injisere hemmeligheter som miljøvariabler ved kjøretid i stedet for å lagre dem i config), bruke dedikerte **hemmelighetsforvaltere** (Vault, AWS Secrets Manager for sentralisert, revidert, rotérbar hemmeligheter), og referere til hemmeligheter etter navn slik at plattformen injiserer verdier sikkert (og maskerer dem i logger) — er den nødvendige praktiske kunnskapen for å holde legitimasjon sikker.

Å forstå **best practices** — **minste privilegium** (pipeline-legitimasjon som bare har nødvendig tillatelser, begrenset eksplosjonradius), foretrekker **kortsiktige/midlertidige legitimasjoner** (som OIDC for å anta skyroller, unngå å lagre langsiktige nøkler helt — en moderne best practice), **roterer** hemmeligheter regelmessig og umiddelbart hvis de lekkes, og separerer hemmeligheter per miljø — gjenspeiler modne, sikre pipeline-praksis.

Siden CI/CD-pipelines håndterer kraftige legitimasjoner hvis lekking kan kompromittere systemer, og siden riktig hemmelighetshåndtering (aldri hardkoding/commit/logging av hemmeligheter, bruke hemmelighetslagre/forvaltere, minste privilegium og kortsiktige legitimasjoner) er essensielt for å forhindre alvorlige brudd, er det viktig sikkerhetskritisk kunnskap å forstå hvordan man håndterer hemmeligheter i CI/CD for å bygge sikre pipelines — et høyrisikoområde der riktig praksis forhindrer legitimasjonslekker som er en reell, skadelig risiko i automatisert distribusjon.