gitlab - 将 GitLab CI «protected» 变量用于 secret 是否安全？

Question

除了所谓的“ protected ”变量，我还没有找到任何方法在 GitLab CI 管道中传递 secret 变量。任何其他变量 任何提交者都可以透露 因为每个提交/分支都会抛出一个管道并且可以修改代码。

我不喜欢 protected 变量，因为它们太复杂了。我需要授予某些人访问某些变量的权限，就像我在 SQL 数据库或 Linux 文件系统中所做的那样。相反，我必须创建一个 protected 变量、一个 protected 分支、一个 protected 环境(高级功能)。而且我必须为某些用户添加维护者权限级别。然后(也许)他们将是唯一可以访问我的 secret 变量的人。

另外，我不知道这些变量是如何存储的。通常，我使用 Hashicorp Vault，现在 GitLab 是最薄弱的安全点。

是否足够安全？
是否有更可靠的方法在 CI 管道中保密？

Answer 1

issue 13784指 REST 中的加密，因此 the security is not... optimal

有一个epic opened改善这一点，你可以 setup an Vault integration ，但默认情况下没有。
Issue 61053是关于解决这个问题的:“ key /值 secret MVC 的保险库集成”

More and more teams are starting to store their secrets in Vault.
We should provide a secure way to fetch short-lived tokens from Vault that can be used at runtime by a job in a CI/CD pipeline.

这适用于 GitLab 12.3，2019 年 9 月。