ਤੁਸੀਂ CI/CD ਪਾਈਪਲਾਈਨਾਂ ਵਿੱਚ ਖਫ਼ੀਆਂ ਰਾਜ਼ਾਂ (secrets) ਨੂੰ ਕਿਵੇਂ ਸੰਭਾਲਦੇ ਹੋ?

Question

Accepted Answer

CI/CD ਪਾਈਪਲਾਈਨਾਂ ਨੂੰ **ਖਫ਼ੀਆਂ ਰਾਜ਼ੇ** (API ਚਾਬੀਆਂ, ਤਾਇਨਾਤੀ ਸਨਾਖ਼ਤ, ਡਾਟਾਬੇਸ ਪਾਸਵਰਡ, ਟੋਕਨ) ਬਣਾਉਣ ਅਤੇ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਚਾਹੀਦੇ ਹਨ — ਪਰ ਸਰੁੱਖਿਅਤ ਢੰਗ ਨਾਲ ਇਹਨਾਂ ਨੂੰ ਸੰਭਾਲਣਾ ਇੱਕ ਗੰਭੀਰ ਖਤਰਾ ਹੈ। ਸਹੀ **ਖਫ਼ੀਆਂ ਰਾਜ਼ਿਆਂ ਦਾ ਪ੍ਰਬੰਧਨ** ਪੂਰੀ ਪਾਈਪਲਾਈਨ ਜਾਂਚ ਵਿੱਚ ਸਨਾਖ਼ਤਾਂ ਨੂੰ ਸਰੁੱਖਿਅਤ ਰੱਖਦਾ ਹੈ।

## ਸਮੱਸਿਆ: ਖਫ਼ੀਆਂ ਰਾਜ਼ੇ ਕਦੇ ਵੀ ਪ੍ਰਗਟ ਨਹੀਂ ਹੋਣੇ ਚਾਹੀਦੇ

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## ਸਹੀ ਖਫ਼ੀਆਂ ਰਾਜ਼ਿਆਂ ਦੀ ਸੰਭਾਲ

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## ਸਰਵੋਤਮ ਅਭਿਆਸ

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## ਇਹ ਜ਼ਰੂਰੀ ਕਿਉਂ ਹੈ

CI/CD ਪਾਈਪਲਾਈਨਾਂ ਵਿੱਚ ਖਫ਼ੀਆਂ ਰਾਜ਼ਿਆਂ ਨੂੰ ਸੰਭਾਲਣ ਦੇ ਤਰੀਕਿਆਂ ਨੂੰ ਸਮਝਣਾ ਜ਼ਰੂਰੀ ਹੈ ਕਿਉਂਕਿ **ਖਫ਼ੀਆਂ ਰਾਜ਼ਿਆਂ ਦਾ ਪ੍ਰਬੰਧਨ ਇੱਕ ਮਹੱਤਵਪੂਰਣ ਸੁਰੱਖਿਆ ਚਿੰਤਾ ਹੈ**, ਅਤੇ ਪਾਈਪਲਾਈਨਾਂ ਵਕਤਵਰਣ ਸਨਾਖ਼ਤਾਂ ਨੂੰ ਸੰਭਾਲਦੀਆਂ ਹਨ ਜੋ, ਜੇਕਰ ਲੀਕ ਹੋ ਜਾਣ, ਪੂਰੇ ਸਿਸਟਮ ਨੂੰ ਖਤਰੇ ਵਿੱਚ ਡਾਲ ਸਕਦੀਆਂ ਹਨ, ਇਸ ਲਈ ਇਹ ਜ਼ਰੂਰੀ ਸੁਰੱਖਿਆ ਗਿਆਨ ਹੈ।

ਪਾਈਪਲਾਈਨਾਂ ਨੂੰ ਖਫ਼ੀਆਂ ਰਾਜ਼ੇ (API ਚਾਬੀਆਂ, ਤਾਇਨਾਤੀ ਸਨਾਖ਼ਤ, ਡਾਟਾਬੇਸ ਪਾਸਵਰਡ) ਬਣਾਉਣ ਅਤੇ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਚਾਹੀਦੇ ਹਨ, ਪਰ ਇਹਨਾਂ ਨੂੰ ਗਲਤ ਢੰਗ ਨਾਲ ਸੰਭਾਲਣਾ ਇੱਕ **ਗੰਭੀਰ, ਆਮ ਸੁਰੱਖਿਆ ਖਤਰਾ** ਹੈ।

ਮੌਲਿਕ ਨਿਯਮਾਂ ਨੂੰ ਸਮਝਣਾ — **ਕਦੇ ਵੀ ਕੋਡ ਜਾਂ ਪਾਈਪਲਾਈਨ ਕੌਂਫਿਗ ਵਿੱਚ ਖਫ਼ੀਆਂ ਰਾਜ਼ੇ ਕੋਡ ਨਾ ਕਰੋ, ਉਹਨਾਂ ਨੂੰ Git ਵਿੱਚ ਕਮਿਟ ਨਾ ਕਰੋ** (ਜਿੱਥੇ ਉਹ ਇਤਿਹਾਸ ਵਿੱਚ ਪ੍ਰਗਟ ਹੁੰਦੇ ਹਨ, ਭਾਵੇਂ ਬਾਅਦ ਵਿੱਚ