__CAPGO_KEEP_6__ __CAPGO_KEEP_7__
- __CAPGO_KEEP_8__ かつて 安全な秘密の保管庫 __CAPGO_KEEP_0__ を安全に保管する。
- アクセスを制限 必要な特権のみを付与し、秘密を定期的に回転することで
- ツール もしくは
git-secrets早期に漏洩を検知する。truffleHogCI/CD ツール - を活用 Actions GitHub, GitLab CI, または Jenkins 内部のシークレット管理用に
- 使用されたシークレットを詳細なログで監視し、審査する 共通のCI/CDシークレット
__CAPGO_KEEP_0__ キー
- API keys
- 暗号化キー
- 認証トークン
- SSL証明書
- __CAPGO_KEEP_0__
__CAPGO_KEEP_0__
| __CAPGO_KEEP_1__ | __CAPGO_KEEP_2__ | __CAPGO_KEEP_3__ |
|---|---|---|
| HashiCorp Vault | ダイナミックシークレット、暗号化、アクセス制御 | 大規模な運用 |
| AWS Secrets Manager | AWS統合、自動ローテーション | AWS中心のセットアップ |
| Azure Key Vault | 証明書の管理、鍵のローテーション | Microsoft環境 |
これらの慣行を遵守し、適切なツールを使用することで、CI/CD Pipelinesを保護し、安全なワークフローを維持できます。
シークレットのセキュリティ ガイドライン
Codeにシークレットを含めない
- 使用 環境変数を使用して、敏感情報を管理します。 シークレットを目的のために設計された安全なボックスに保存します。
- CI/CD Pipelinesをボックスに接続して、ビルドプロセス中にクレデンシャルをインジェクトします。 アクセスを制限し、監視する アクセスを制限し、監視する
- アクセスを制限し、監視する
アクセスを制限し、監視する
各ユーザーやサービスに必要な最小限の権限のみを付与し、頻繁に権限の確認を行う。 さらに、定期的にシークレットをローテートし、潜在的な侵害を追跡および識別するためのアクセスログを維持する。 HashiCorp VaultとGitLab CIを統合して…を取得する方法
HashiCorp Vault GitLab CI HashiCorp Vault
HashiCorp Vault HashiCorp Vault HashiCorp Vault HashiCorp Vault HashiCorp Vault
機密管理ツール
__CAPGO_KEEP_0__の後、機密管理のためのツールを展開する準備ができた。
機密ストレージプラットフォーム
__CAPGO_KEEP_0__の機密をすべて統合および監視するツール:
| プラットフォーム | 機能 | 推奨 |
|---|---|---|
| HashiCorp Vault | ダイナミックシークレット、暗号化サービス、IDベースのアクセス | 大規模な運用 |
| AWS Secrets Manager | AWSとのシームレスな統合、自動ローテーション、詳細な権限 | AWSに焦点を当てたセットアップ |
| Azure Key Vault | ハードウェア セキュリティ モジュール、証明書の管理、鍵のローテーション | マイクロソフト クラウド エンビロメント |
__CAPGO_KEEP_0__ Actions
CI/CD セキュリティ マネジメント
多くの CI/CD ツールには、組み込みのシークレット マネジメント機能が付属しています:
- GitHub Actions: リポジトリと組織の両方で暗号化されたシークレットを提供します。ログでは自動的にマスクされ、承認されたワークフローにのみアクセス可能です。
- GitLab CI: 保護された変数とグループレベルのシークレットを提供し、プロジェクト間で安全に共有することができ、分離を維持します。
- Jenkins: __CAPGO_KEEP_0__で使用できるクレデンシャル プラグインと外部シークレット ストアをサポートしています。プラグインは、ログにシークレットがマスクされることを保証するために必要です。
Capgo セキュリティ機能
Capgoは、Capacitorアプリのライブ アップデートのセキュリティを強化するために、標準のCI/CDシークレット マネジメントを拡張します。エンドツーエンド暗号化を使用して、承認されたユーザー以外のユーザーが機密データを復号化できないようにします。 [1].
Capgoは、GitHubアクション、GitLab CI、Jenkinsなどのツールと統合され、チャネルベースの配布とロールベースのアクセス制御もサポートしています。これにより、AppleおよびAndroidプラットフォームの両方のアップデート要件を満たすことができます。
バージョン管理でシークレット
リポジトリを保護するには、ハードコードされたクレデンシャルが漏洩しないようにする必要があります。セキュアなボールト ストレージから始め、追加のセーフガードを追加して、code内の機密情報をブロックするようにします。
ここでは、防御を強化する方法を紹介します。
- 使用するツールとしては git-secrets またはpre-commitフレームワーク コミットが実行される前に問題を検出する。
- 定期的なスキャンを実行 ツールとして truffleHog または GitGuardian 漏れていた秘密を検出するために
- CI/CD チェックを自動化 秘密が見つかった場合にビルドをフラグし、失敗させる。
次に、漏れた秘密を効果的に管理する方法について説明します。
概要
このガイドでは、セキュリティと高速のデプロイを実現するために、エンドツーエンド暗号化とSmooth CI/CD統合を組み合わせた、vault ストレージ、自動スキャン、CI/CDツール統合、リポジトリ保護について説明しました。 Capgo[1].
安全シークレット管理の重要な点:
- セキュリティーキーを保存する: ストレージおよびトランジットの両方で暗号化を提供するプラットフォームに依存します。
- セキュリティチェックを自動化する: シークレットの漏洩を早期に特定するためのスキャニングツールを実装します。
- アクティビティの追跡と監視: シークレットへのアクセスと変更の詳細なログを保持します。
- インシデントの準備: 暗示されたシークレットに対処し、必要に応じて変更を巻き戻すための明確なプロセスを設定します。
効果的なシークレット管理は、継続的なデリバリーのサポートシステムとしてセキュリティを変える。
