프로젝트 수준 보안 파일
- GitLab 14.8에서
ci_secure_files이라는 플래그와 함께 소개되었습니다. 기본적으로 비활성화됩니다.- GitLab 15.7에서 일반적으로 사용 가능해졌습니다.
ci_secure_files플래그가 제거되었습니다.
이 기능은 GitLab Incubation Engineering에서 개발한 Mobile DevOps의 일부입니다. 이 기능은 아직 개발 중이지만 다음을 할 수 있습니다:
CI/CD 파이프라인에서 안전한 파일로 최대 100개의 파일을 안전하게 저장할 수 있습니다. 이 파일들은 프로젝트 리포지터리 외부에 안전하게 저장되며 버전 관리되지 않습니다. 이러한 파일에 민감한 정보를 안전하게 저장해도 됩니다. 안전한 파일은 일반 텍스트 및 이진 파일 유형을 지원하지만 5MB 이하여야 합니다.
프로젝트 설정 또는 안전한 파일 API를 사용하여 안전한 파일을 관리할 수 있습니다.
안전한 파일은 CI/CD 작업에서 다운로드하고 사용할 수 있습니다. 다운로드-secure-files 도구를 사용하여 CI/CD 작업에서 다운로드 및 사용할 수 있습니다.
프로젝트에 안전한 파일 추가
프로젝트에 안전한 파일을 추가하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
- 설정 > CI/CD를 선택합니다.
- 보안 파일 섹션을 확장합니다.
- 파일 업로드를 선택합니다.
- 업로드할 파일을 찾아 열기를 선택하면 파일 업로드가 즉시 시작됩니다. 업로드가 완료되면 파일이 디렉터리에 표시됩니다.
CI/CD 작업에서 안전한 파일 사용
CI/CD 작업에서 안전한 파일을 사용하려면 작업에서 download-secure-files 도구를 사용하여
파일을 다운로드해야 합니다. 다운로드한 후 다른 스크립트 명령어와 함께 사용할 수 있습니다.
작업의 script 섹션에 명령을 추가하여 download-secure-files 도구를 다운로드하고 실행해야 합니다. 파일은 프로젝트 루트의 .secure_files 디렉터리에 다운로드됩니다. 안전한 파일의 다운로드 위치를 변경하려면 SECURE_FILES_DOWNLOAD_PATH CI/CD 변수에 경로를 설정해야 합니다.
예시:
test:
variables:
SECURE_FILES_DOWNLOAD_PATH: './where/files/should/go/'
script:
- curl --silent "https://gitlab.com/gitlab-org/incubation-engineering/mobile-devops/download-secure-files/-/raw/main/installer" | bash
download-secure-files 도구로 로드된 파일의 내용은 작업 로그 출력에서 마스킹되지 않습니다. 특히 민감한 정보가 포함될 수 있는 로깅 출력을 피하도록 주의하십시오.보안 세부정보
프로젝트 수준 보안 파일은 Lockbox Ruby gem을 사용하여 업로드 시 암호화됩니다. 이 인터페이스는 업로드 중에 소스 파일의 SHA256 체크섬을 생성하고, 이를 데이터베이스의 레코드에 보관하여 다운로드 시 파일 내용을 확인하는 데 사용합니다.
각 파일을 생성할 때 고유한 암호화 키가 생성되어 데이터베이스에 보관됩니다. 암호화된 업로드된 파일은 GitLab 인스턴스 구성에 따라 로컬 리포지터리 또는 객체 리포지터리에 저장됩니다.
개별 파일은 안전한 파일 다운로드 API로 검색할 수 있습니다. 메타데이터는 리스트 또는 표시 API 엔드포인트로 검색할 수 있습니다. 또한 download-secure-files 도구로 검색할 수 있습니다. 이 도구는 파일을 다운로드하는 동안 각 파일의 체크섬을 자동으로 확인합니다.
최소한 Developer 역할을 가진 프로젝트 구성원은 프로젝트 수준 보안 파일에 액세스할 수 있습니다. 프로젝트 수준 보안 파일과의 상호 작용은 감사 이벤트에 포함되지 않지만, 이슈 117.이 기능을 추가하는 것을 제안합니다.
도움말