CI/CD PIPELINE에서 비밀을 안전하게 유지하는 것은 침해, 서비스 중단 및 규정 준수 문제를 방지하기 위해 중요합니다. 효과적으로 비밀을 관리하는 방법은 다음과 같습니다.
- 환경 변수를 사용하여 보안 보관소 비밀을 안전하게 저장합니다. 접근을 제한
- 필요한 권한만 부여하고 비밀을 정기적으로轮换합니다. 도구와 같은 비밀 스캔을 자동화
- GitHub Cloudflare
git-secrets또는truffleHog누출을 일찍 잡기 위해. - CI/CD 도구를 활용하세요 예를 들어 GitHub Actions, GitLab CI, 또는 Jenkins 내장된 비밀 관리를 위해.
- 세부 로그와 함께 비밀 사용을 모니터링하고 감사하세요. 일반 CI/CD 비밀
or
- API 키
- 데이터베이스 인증 정보
- 암호화 키
- 인증 토큰
- SSL 인증서
인기있는 비밀 관리 플랫폼
| 플랫폼 | 기능 | 추천 |
|---|---|---|
| HashiCorp 보관소 | 동적 비밀, 암호화, 접근 제어 | 대규모 운영 |
| AWS Secret Manager | AWS 통합, 자동 회전 | AWS 중심 설정 |
| Azure Key Vault | 인증서 처리, 키 회전 | Microsoft 환경 |
CI/CD pipeline과 workflow를 안전하게 유지하기 위해, 올바른 도구를 사용하고 이러한 방법을 따르십시오.
비밀번호에 대한 보안 지침
Code에 비밀번호를 포함하지 마십시오.
- Use 환경 변수 敏감 정보를 관리하기 위해.
- 비밀을 안전한 보관소에 저장하세요. 이 용도의 보안 보관소입니다. 빌드 프로세스 중에 자격 증명을 주입하기 위해 CI/CD PIPELINE을 보관소에 연결하세요.
- 사용자 또는 서비스에 필요한 최소한의 권한만 부여하고 자주 권한을 검토하세요.
또한 정기적으로 비밀을 회전하고 침해 가능성을 추적하고 식별하기 위해 감사 로그를 유지하세요.
통합 방법 비밀을 안전한 보관소에 저장하세요. 이 용도의 보안 보관소입니다.
빌드 프로세스 중에 자격 증명을 주입하기 위해 CI/CD PIPELINE을 보관소에 연결하세요. 사용자 또는 서비스에 필요한 최소한의 권한만 부여하고 자주 권한을 검토하세요. 또한 정기적으로 비밀을 회전하고 침해 가능성을 추적하고 식별하기 위해 감사 로그를 유지하세요.
통합 방법 GitLab CI 그리고 HashiCorp Vault …을 가져오기 위해
비밀 관리 도구
보안 지침이 마련된 후, 비밀 관리를 위한 도구를 배포하는 시간입니다.
비밀 저장소 플랫폼
다음 도구를 사용하여 모든 비밀을 중앙화하고 모니터링하세요:
| 플랫폼 | 기능 | 추천 |
|---|---|---|
| HashiCorp 보관소 | __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ |
| HashiCorp 보관소 | __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ |
| HashiCorp 보관소 | __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ |
CI/CD 도구의 내장 비밀 관리 기능을 사용하세요.
CI/CD 비밀 관리
많은 CI/CD 도구는 내장 비밀 관리 기능을 제공합니다.
- GitHub 액션: 저장소와 조직 수준에서 암호화된 비밀을 제공합니다. 로그에서 비밀은 자동으로 가려지고 권한이 있는 워크플로우만 접근할 수 있습니다.
- GitLab CI: 보호 변수와 프로젝트 간에 안전하게 공유하는 동안 격리 유지하는 그룹 수준 비밀을 제공합니다.
- Jenkins: 자격 증명 플러그인과 외부 비밀 저장소 지원을 제공합니다. 플러그인은 로그에서 비밀을 가려주도록 보장합니다.
Capgo 보안 기능
Capgo는 Capacitor 앱의 실시간 업데이트 보안을 강화하기 위해 표준 CI/CD 비밀 관리를 확장합니다. 암호화된 데이터만 인증된 사용자가 해독할 수 있도록 end-to-end 암호화를 사용합니다. [1].
Capgo는 GitHub 액션, GitLab CI, Jenkins와 같은 도구와 손쉽게 통합됩니다. 또한 채널 기반 배포와 역할 기반 접근 제어를 지원하여 Apple과 Android 플랫폼의 업데이트 요구 사항을 충족합니다.
버전 관리에서 비밀
보안을 강화하기 위해 저장소에 있는 하드 코딩된 자격 증명을 방지하세요. code에 있는敏感 정보를 차단하기 위해 추가 보안을 구현하세요.
보안을 강화하는 방법은 다음과 같습니다.
- git-secrets or pre-commit 프레임워크 커밋이 이루어지기 전에 문제를 잡아내는 데 도움이 되는 도구를 사용하세요.
- truffleHog or GitGuardian 정기적으로 스캔을 실행하여 저장소에 있는 비밀을 감지하세요. GitGuardian or
- 자동화된 CI/CD 검사 자동화 비밀번호를 찾고 빌드를 실패시 표시합니다.
다음으로, 우리는 노출된 비밀번호를 효과적으로 처리하는 방법에 대해 다룹니다.
요약
이 가이드에서는 보관소 저장소, 자동화된 스캔, CI/CD 도구 통합 및 저장소 보호에 대해 설명했습니다. Capgo는 종단 간 암호화 및 smooth CI/CD 통합을 통해 보안과 빠른 배포를 제공합니다.[1].
보안한 비밀 관리를 위한 주요 포인트:
- 보관소 사용: 저장소 및 전송 중 암호화가 제공되는 플랫폼에 의존하십시오.
- 보안 검사를 자동화하십시오: 노출된 비밀을 빠르게 식별하기 위해 스캔 도구를 구현하십시오.
- 활동 추적 및 모니터링: 비밀 접근 및 수정에 대한 세부적인 감사 로그를 유지하십시오.
- 비상 상황 대비: 비밀번호를 노출시키지 않도록 명확한 처리 과정을 설정하고 필요할 때 변경 사항을 되돌릴 수 있도록 하세요.
비밀 관리가 효과적으로 작동하면 보안이 지연 요소가 아니라 지속적인 배포를 지원하는 시스템으로 변할 수 있습니다.
CI/CD Pipelines에서 비밀 관리를 계속 진행하세요.
Capacitor를 사용하고 계신가요? CI/CD Pipelines에서 비밀 관리를 계속 진행하세요. 보안 및 규정 준수 계획을 세우기 위해 비밀 관리를 CI/CD Pipelines와 연결하세요. 구현 세부 사항은 암호화 구현 세부 사항은 Capgo Security Scanner 제품 워크플로우에서 Capgo 보안 스캐너를 Capgo 보안 제품 워크플로우에서 Capgo 보안, 그리고 Capgo 신뢰 센터 제품 워크플로우에서 Capgo 신뢰 센터.
