Pipeline vaza quando secrets vazam
CI/CD automatiza build, teste e deploy. Para isso, pipelines precisam de credenciais: API keys, senhas de banco, tokens de deploy e chaves SSH. Se esses secrets ficam em codigo ou em repositorio publico, qualquer pessoa com acesso pode roubar ou abusar.
Seguranca em CI/CD comeca com nunca commitar o que nao deve ser versionado.
O que nunca commitar
Senhas, API keys, tokens de acesso, chaves privadas SSH, certificados, connection strings com credenciais e arquivos .env com dados sensiveis. Use .gitignore para .env, config local e chaves. Se algo vazou, considere rotacionado imediatamente.
Ferramentas como git-secrets e pre-commit hooks ajudam a bloquear commits acidentais.
Onde guardar secrets
Plataformas CI/CD oferecem variaveis secretas: GitHub Actions, GitLab CI, Jenkins credentials. Em VPS, use variaveis de ambiente no servidor ou vault. Secrets sao injetados no pipeline em runtime, nunca aparecem em logs publicos.
Rotacione tokens periodicamente e limite permissoes ao minimo necessario.
Deploy seguro
Pipeline deve fazer deploy apenas de branches protegidas, com revisao de codigo. Ambientes de producao e staging separados. Logs de pipeline nao devem imprimir secrets. Em Servidor Dedicado, restrinja quem pode alterar pipeline e acessar credenciais.
Conclusao
Seguranca em CI/CD exige nunca commitar secrets, usar variaveis protegidas, rotacionar credenciais e limitar permissoes. Pipeline rapido nao vale credencial exposta. Proteja desde o primeiro commit.
Nenhum comentário ainda. Seja o primeiro a comentar!