Cum gestionezi secretele în conductele CI/CD?

Question

Accepted Answer

Conductele CI/CD au nevoie de **secrete** (chei API, credențiale de implementare, parole de baze de date, tokeni) pentru a construi și implementa — dar gestionarea acestora în mod nesecurizat este un risc serios. **Gestionarea corespunzătoare a secretelor** ține credențialele sigure pe tot parcursul conductei.

## Problema: secretele nu trebuie niciodată expuse

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Gestionarea corespunzătoare a secretelor

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Bune practici

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## De ce conteaza

Înțelegerea modului de gestionare a secretelor în conductele CI/CD este importantă deoarece **gestionarea secretelor este o preocupare critică de securitate**, și conductele gestionează credențiale puternice care, dacă sunt divulgate, pot compromite sisteme întregi, deci este o cunoaștere de securitate esențială.

Conductele au nevoie de secrete (chei API, credențiale de implementare, parole de baze de date) pentru a construi și implementa, dar tratarea necorespunzătoare a acestora este un **risc de securitate serios și frecvent**.

Înțelegerea regulilor fundamentale — **nu hardcoda niciodată secretele în cod sau configurație de conductă, nu le comite niciodată la Git** (unde sunt expuse în istoric, chiar dacă sunt „șterse