Article

CI/CD : cacher les mots de passe (sans les coller dans Git)

Ou mettre cles API et mots de passe pour que la chaine fonctionne sans fuite.

CI/CD : cacher les mots de passe (sans les coller dans Git)

CI/CD : cacher les mots de passe (sans les coller dans Git)

Un secret, c'est un truc qu'on ne montre pas : mot de passe, cle API, certificat. Si tu le mets dans Git, considere-le public.

Schema bons et mauvais usages des secrets
Coffre CI et variables masquees : jamais de secret dans le code.

Les mauvais reflexes

  • Fichier .env committe "juste pour tester"
  • Secret dans un script
  • Secret imprime dans les logs de la CI

Les bons reflexes

  • Coffre de la CI (GitHub Secrets, variables GitLab masquees…)
  • Droits limites : chaque job n'a que ce dont il a besoin
  • Rotation : changer une cle compromise rapidement
  • Pas de secret dans l'image Docker

Variables vs secrets

Les variables (URL d'API, mode debug) peuvent etre visibles. Les secrets, non. Separe-les clairement. C'est aussi vrai sur Kubernetes.

Articles recommandés

Devis par e-mail

Recevoir votre devis

Indiquez votre e-mail : le PDF part tout de suite, sans engagement.

Récapitulatif

    Total HT
    TTC (TVA 20 %)

    Où envoyer votre devis ?

    Le PDF arrive à cette adresse en quelques secondes.

    Préciser votre besoin facultatif
    • Sans engagement
    • Réponse sous 24 h ouvrées
    • Devis PDF par e-mail

    Tarif HT selon les options choisies. Devis PDF envoyé par e-mail.