Kako ravnaš s skrivnostmi v CI/CD cevovodih?

Question

Accepted Answer

CI/CD cevovodi potrebujejo **skrivnosti** (API ključe, poverilnice za uvajanje, gesla baz podatkov, žetone) za gradnjo in uvajanje — vendar njihova nezavarjena obravnava predstavlja resno tveganje. Ustrezno **upravljanje skrivnosti** ohranja poverilnice varne med celotnim cevovodom.

## Problem: skrivnosti se nikoli ne smejo razkriti

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Ustrezna obravnava skrivnosti

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Najbolje prakse

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Zakaj je to pomembno

Razumevanje, kako ravnati s skrivnostmi v CI/CD cevovodih, je pomembno, ker je **upravljanje skrivnosti kritična varnostna skrb**, in cevovodi obdelujejo močne poverilnice, ki lahko v primeru uhajanja ogrozijo cele sisteme, zato je to bistveno varnostno znanje.

Cevovodi potrebujejo skrivnosti (API ključe, poverilnice za uvajanje, gesla baz podatkov) za gradnjo in uvajanje, vendar njihova napačna obravnava predstavlja **resno, pogosto varnostno tveganje**.

Razumevanje temeljnih pravil — **nikoli ne vgrajevati skrivnosti v kodo ali konfiguro cevovoda, nikoli jih ne zavezovati v Git** (kjer so izpostavljene v zgodovini, tudi če so kasneje "odstranjene"), in **nikoli jih ne tiskov v dnevnike** — je bistveno, ker te napake povzročajo prave, škodljive uhajanja poverilnic (uhajajući ključi za uvajanje ali poverilnice za oblak lahko ogrozijo cele sisteme).

Razumevanje **ustreznega upravljanja skrivnosti** — uporaba **šifriranega skladišča skrivnosti** platforme (vbrizgavanje skrivnosti kot spremenljivk okolja med izvajanjem namesto shranjevanja v konfiguracijo), uporaba namenskih **upraviteljev skrivnosti** (Vault, AWS Secrets Manager za centralizirane, revidirane, rotabilne skrivnosti), in nanašanje na skrivnosti po imenu, da platforma vbrizga vrednosti varno (in jih maskira v dnevnikih) — je potrebno praktično znanje za zavarovanje poverilnic.

Razumevanje **dobrih praks** — **najmanjših pravic** (poverilnice cevovoda imajo samo potrebna dovoljenja, kar omejuje obseg škode), prednost **kratkotrajnih/začasnih poverilnic** (kot je OIDC za prevzem vloge v oblaku, izogibanje shranjevanju dolgotrajnih ključev — moderna najbolj praksa), **rotacija** skrivnosti pravilno in takoj, če so uhajane, ter ločevanje skrivnosti po okolju — odraža zrelih, varnih praks cevovodov.

Ker CI/CD cevovodi obdelujejo močne poverilnice, katerih uhajanje lahko ogrozijo sisteme, in ker je ustrezno upravljanje skrivnosti (nikoli ne vgrajevati/zavezovati/tiskovati skrivnosti, uporaba skladišč/upraviteljev skrivnosti, najmanjša dovoljenja in kratkotrajne poverilnice) bistveno za preprečevanje resnih kršitev, je razumevanje, kako ravnati s skrivnostmi v CI/CD, pomembno, kritično varnostno znanje za gradnjo varnih cevovodov — področje z visokim tveganjem, kjer ustrezne prakse preprečijo uhajanja poverilnic, ki predstavljajo pravo, škodljivo tveganje v avtomatizirani dostavi.