CI/CDパイプラインにおけるシークレットの管理は、侵害、サービス中断、法的問題を防ぐために不可欠です。 次の手順で効果的に実行します。
- 環境変数を使用して シークレットを安全に保存するためのセキュアなボックス シークレットを安全に保存するためのセキュアなボックス 必要な特権のみを付与してシークレットを定期的にローテーションすることで
- アクセスを制限する ツールなどを使用してシークレットのスキャンを自動化する
- CI/CDパイプラインにおけるシークレットの管理 CI/CDパイプラインにおけるシークレットの管理
git-secretsまたはtruffleHog早期にメモリリークを検出するために。 - CI/CDツールを利用して 例えば GitHub Actions, GitLab CI、または Jenkins ビルトインのシークレット管理機能を利用して。
- シークレットの使用を監視し、詳細なログを使用して CI/CD共通シークレットのシークレット管理機能を利用して。
CI/CD共通シークレット
- API キー
- データベース認証情報
- 暗号化キー
- 認証トークン
- SSL 証明書
人気の秘密管理プラットフォーム
| プラットフォーム | 機能 | おすすめ |
|---|---|---|
| HashiCorp Vault | 動的シークレット、暗号化、アクセス制御 | 大規模オペレーション |
| AWS Secrets Manager | AWSのシークレットマネージャー | AWS統合、自動ローテーション |
| Azure Key Vault | 証明書の管理、キーローテーション | Microsoft環境 |
CI/CD Pipelinesと安全なワークフローを維持するには、以下の慣行を遵守し、適切なツールを使用する必要があります。
シークレットの安全性ガイドライン
Codeにシークレットを入れない
- 使用 環境変数 敏感情報を管理するために使用します。
- __CAPGO_KEEP_0__を __CAPGO_KEEP_1__で保護された __CAPGO_KEEP_1__の目的で設計された
- CI/CD Pipelinesと__CAPGO_KEEP_1__を接続して、ビルドプロセス中にクレデンシャルをインジェクトします。
アクセスを制限して監視
__CAPGO_KEEP_0__にのみ __CAPGO_KEEP_0__に必要な最小限の特権 を各ユーザーやサービスに付与し、頻繁に権限をレビューします。
さらに、定期的にシークレットをローテートし、潜在的な侵害を追跡して特定するために使用する 監査ログ を維持します。
__CAPGO_KEEP_2__を統合する方法 GitLab CI と HashiCorp Vault を使用して …
シークレット管理ツール
セキュリティのガイドラインが整ったら、シークレットを管理するために設計されたツールを展開する時です。
シークレットストレージプラットフォーム
以下のツールを使用して、すべてのシークレットを集中管理および監視してください:
| プラットフォーム | 機能 | おすすめ |
|---|---|---|
| HashiCorp Vault | ダイナミックシークレット、暗号化サービス、IDベースのアクセス | 大規模オペレーション |
| AWSシークレットマネージャー | シームレスなAWS統合、自動ローテーション、詳細な権限 | AWSに特化したセットアップ |
| Azure Key Vault | ハードウェアセキュリティモジュール、証明書管理、キーローテーション | マイクロソフトクラウド環境 |
シークレットをストレージプラットフォームに格納した後、CI/CDツールに付属するシークレット管理機能を利用してください。
CI/CDシークレット管理
多くのCI/CDツールには組み込みのシークレット管理機能が付属しています:
- GitHub アクション__CAPGO_KEEP_0__ では、リポジトリと組織の両方のレベルで暗号化されたシークレットを提供します。シークレットは自動的にログにマスクされ、承認されたワークフローにのみアクセス可能です。
- GitLab CI__CAPGO_KEEP_0__ では、保護された変数とグループレベルのシークレットを提供し、プロジェクト間で安全に共有することができ、分離を維持します。
- Jenkins__CAPGO_KEEP_0__ では、クレデンシャル プラグインと外部シークレット ストアをサポートし、プラグインは必須です。シークレットがログにマスクされるようにするためです。
Capgo セキュリティ機能
Capgo は、Capacitor アプリのライブ アップデートのセキュリティを強化するために、標準の CI/CD シークレット マネジメントを拡張します。エンドツーエンド暗号化を使用して、承認されたユーザー以外のユーザーが敏感なデータを復号化できないようにします。 [1].
Capgo は、GitHub アクション、GitLab CI、Jenkinsなどのツールとシームレスに統合されます。また、チャンネルベースの配布とロールベースのアクセス制御もサポートし、AppleとAndroidの両方のプラットフォームのアップデート要件を満たします。
バージョン管理システム内にシークレットを保存します
リポジトリを保護するには、ハードコードされた資格情報が漏洩するのを防ぐことが重要です。まず、安全なボックスストレージから始め、次に、code 内の敏感情報をブロックする追加のセキュリティ対策を追加してください。
ここでは、防御を強化する方法を紹介します。
- git-secrets またはpre-commitフレームワーク を使用して、コミットが実行される前に問題を検出できます。 定期的なスキャンを実行
- truffleHog または GitGuardian などのツールを使用して、漏洩した可能性のあるシークレットを検出できます。 tools like git-secrets
- CI/CD自動チェックを自動化して、シークレットが発見された場合にビルドをフラグして失敗させる。 次に、シークレットが露呈された場合に効果的に対処する方法について説明します。
概要
このガイドでは、ボールトストレージ、自動スキャン、CI/CDツール統合、リポジトリ保護について説明しました。__CAPGO_KEEP_0__は、エンドツーヘンド暗号化とSmooth CI/CD統合を通じて、セキュリティと高速デプロイを統合します。
This guide explored vault storage, automated scans, CI/CD tool integration, and repository protections. Capgo brings together security and fast deployment through end-to-end encryption and smooth CI/CD integration[1].
ボールトストレージを使用する
- : ストレージとトランジット両方で暗号化を提供するプラットフォームに依存する。セキュリティチェックを自動化する
- : シークレットの露呈を早期に特定するためのスキャニングツールを実装する。アクティビティを追跡して監視する
- : シークレットへのアクセスと修正の詳細なアクセスログを保持する。Automate CI/CD checks
- インシデントの準備: 暗号化されたシークレットが露呈した場合や変更を巻き戻す必要がある場合に、明確なプロセスを設定する。
効果的なシークレット管理は、セキュリティが継続的なデリバリーのサポートシステムになるようにする。
__CAPGO_KEEP_0__ CI/CD Pipelines内でのシークレットの管理から進んでください
Capacitorを使用している場合 CI/CD Pipelines内でのシークレットの管理 セキュリティとコンプライアンスの計画に使用する場合、__CAPGO_KEEP_0__ を Encryption の実装詳細 Compliance の実装詳細 Capgo セキュリティ スキャナー 製品ワークフローにおけるCapgo セキュリティ スキャナの Capgo セキュリティ 製品ワークフローにおけるCapgo セキュリティの Capgo トラスト センター 製品ワークフローにおけるCapgo トラスト センターの
