__CAPGO_KEEP_6__ __CAPGO_KEEP_7__
- 環境変数と暗号化されたセキュア・ボールを使用して、機密情報を安全に保存してください。 と 機密情報を安全に保存するために使用する 機密情報を安全に保存するために使用する
- アクセスを制限する 必要な特権のみを付与し、機密情報を定期的にローテーションすることで
- ツールのような と
git-secrets機密情報の漏洩を早期に検出するために使用するtruffleHogCI/CDツールのような - と like GitHub アクション, GitLab CI, または Jenkins 組み込みシークレット管理用に
- 詳細なログでシークレットの使用を監視し、審査する 共通のCI/CDシークレット
__CAPGO_KEEP_0__ キー
- API keys
- 暗号化キー
- 認証トークン
- secret usage with detailed logs.
- __CAPGO_KEEP_0__
有名なシークレット管理プラットフォーム
| プラットフォーム | 機能 | おすすめ |
|---|---|---|
| HashiCorp Vault | ダイナミックシークレット、暗号化、アクセス制御 | 大規模な運用 |
| AWSシークレットマネージャー | AWS統合、自動ローテーション | AWS中心のセットアップ |
| Azure Key Vault | 証明書の管理、鍵のローテーション | Microsoft環境 |
これらの慣行を遵守し、適切なツールを使用することで、CI/CD Pipelinesを保護し、安全なワークフローを維持できます。
シークレットのセキュリティ ガイドライン
Codeにシークレットを含めない
- 使用 環境変数 敏感情報を管理するために使用します。
- シークレットを目的の 安全なセキュア ストレージ シークレットを格納するために設計されています。
- CI/CD Pipelinesを接続して、ビルドプロセス中にクレデンシャルをインジェクトします。
アクセスを制限して監視する
各ユーザーやサービスに必要な最小限の権限のみを付与し、頻繁に権限を確認する さらに、定期的にシークレットをローテーションし、潜在的な侵害を追跡して識別するためのアクセスログを維持する HashiCorp VaultとGitLab CIを統合して…を取得する方法
HashiCorp Vault GitLab CI minimum necessary privileges
each user or service regular schedule audit log potential breaches to retrieve
機密情報管理ツール
セキュリティガイドラインが整ったら、機密情報を管理するためのツールを展開する時です。
機密情報ストレージプラットフォーム
これらのツールを使って、すべての機密情報を一元管理して監視することができます。
| プラットフォーム | 機能 | 推奨 |
|---|---|---|
| HashiCorp Vault | ダイナミックシークレット、暗号化サービス、IDベースのアクセス | 大規模な運用 |
| AWS Secrets Manager | AWS統合、自動ローテーション、粒度の細かい権限 | AWSに特化したセットアップ |
| Azure Key Vault | ハードウェアセキュリティモジュール、証明書管理、キーローテーション | Microsoft クラウド環境 |
__CAPGO_KEEP_0__ アクション
CI/CD シークレット管理
多くの CI/CD ツールには、組み込みのシークレット管理機能が付属しています:
- GitHub Actions: リポジトリと組織の両方で暗号化されたシークレットを提供します。ログではシークレットが自動的にマスクされ、承認されたワークフローにのみアクセス可能です。
- GitLab CI: 保護された変数とグループレベルのシークレットを提供し、プロジェクト間で安全に共有することができ、分離を維持します。
- Jenkins: __CAPGO_KEEP_0__と共にクレデンシャル プラグインを使用し、外部シークレット ストアをサポートします。プラグインは、ログにシークレットがマスクされることを保証する必要があります。
Capgo セキュリティ機能
Capgoは、Capacitorアプリのライブ更新のセキュリティを強化するために、標準のCI/CDシークレット管理を拡張する。エンドツーエンド暗号化を使用して、承認されたユーザーだけが機密データを復号化できるようにします。 [1].
Capgoは、GitHubアクション、GitLab CI、Jenkinsなどのツールとシームレスに統合されます。また、チャンネルベースの配布とロールベースのアクセス制御もサポートしており、AppleおよびAndroidプラットフォームの両方の更新要件を満たします。
バージョン管理におけるシークレット
リポジトリを保護するには、ハードコードされたクレデンシャルが漏洩しないようにする必要があります。セキュアなボールト ストレージから始め、追加のセーフガードを追加して、code内の機密情報をブロックするようにします。
ここでは、防御を強化する方法を紹介します。
- 使用するツールとしては git-secrets __CAPGO_KEEP_0__ __CAPGO_KEEP_1__
- 定期スキャンを実行 ツールとして truffleHog または GitGuardian シークレットを検出するために
- CI/CD チェックを自動化 シークレットが見つかった場合にビルドをフラグや失敗させる
次のステップでは、有効なシークレットの取り扱いについて説明します。
概要
このガイドでは、セキュリティストレージ、自動スキャン、CI/CDツール統合、リポジトリ保護について説明しました。Capgoは、エンドツーヘンド暗号化とSmooth CI/CD統合を通じて、セキュリティと高速デプロイを統合します。[1].
安全なシークレット管理の重要な点:
- シークレットストレージを使用する: ストレージとトランジットの両方で暗号化を提供するプラットフォームに依存する
- セキュリティチェックを自動化する: シークレット漏洩を早期に検出するためのスキャニングツールを実装する
- アクティビティを追跡する: シークレットへのアクセスと修正の詳細な監査ログを保持する
- インシデントに備える: 暗示されたシークレットに対処するための明確なプロセスを設定し、必要な場合に変更を巻き戻す
効果的なシークレット管理は、セキュリティが継続的なデリバリーのサポートシステムになることを可能にする
CI/CD Pipelinesでシークレットを管理することから続けてください
あなたが使用している場合 CI/CD Pipelinesにおけるシークレットの管理 セキュリティとコンプライアンスの計画を行う場合、接続する 暗号化 暗号化の実装詳細については コンプライアンス コンプライアンスの実装詳細については Capgo セキュリティ スキャナー Capgo セキュリティ スキャナーの製品ワークフローについて Capgo セキュリティ Capgo セキュリティの製品ワークフローについて Capgo トラスト センター 製品ワークフローについての情報はCapgoのTrust Centerでご確認いただけます。
