DevOps Pokročilý
CI/CD Security — Zabezpečení Pipeline¶
CI/CDSecurityDevSecOpsSupply Chain 5 min čtení
Bezpečnostní best practices pro CI/CD pipeline. Secret management, supply chain security a SLSA.
Secret Management¶
- Nikdy secrets v kódu nebo env variables v CI configu
- Používejte native secret stores: GitHub Secrets, GitLab CI Variables (protected + masked)
- Pro pokročilé: HashiCorp Vault, AWS Secrets Manager
- Rotujte secrets pravidelně
- Auditujte přístupy
Supply Chain Security¶
# Dependency scanning
- trivy fs . --scanners vuln
- npm audit / pip-audit / govulncheck
# SBOM generace
- syft . -o spdx-json > sbom.json
# Image signing (Cosign)
cosign sign --key cosign.key registry.example.com/app:v1.0
cosign verify --key cosign.pub registry.example.com/app:v1.0
# SLSA provenance
- slsa-verifier verify-artifact app.tar.gz \
--provenance-path provenance.json \
--source-uri github.com/org/app
Pipeline Hardening¶
- Least privilege: CI runner má jen nutná oprávnění
- Ephemeral runners: čistý stav pro každý job
- Pin actions/images: SHA místo tagů (
actions/checkout@abc123) - Branch protection: require reviews, status checks
- Audit log: kdo co kdy spustil
Shrnutí¶
CI/CD pipeline je kritický attack vector. Secret management, supply chain security a pipeline hardening jsou minimum pro produkční prostředí.
Potřebujete pomoct s implementací?¶
Náš tým má zkušenosti s návrhem a implementací moderních architektur. Rádi vám pomůžeme.