Segurança em pipelines CI/CD: segredos, artefactos e exposição de dados

Automatizar entrega acelerou times, mas também multiplicou superfícies: runners efémeros, registries de imagens, repositórios de artefactos e integrações com SaaS. Erros de configuração expõem não só infraestrutura, mas dados de clientes embutidos em dumps de teste ou relatórios gerados no pipeline.

Onde dói

Variáveis mascaradas que ainda vazam em stack traces ou artefactos de build. Caches de dependências ou layers Docker com credenciais de registry corporativo. Permissões amplas em tokens de deploy que permitem leitura de buckets inteiros “para facilitar o script”.

Ambientes de staging com cópias parciais de produção sem anonimização são alvo frequente em auditorias e, pior, em incidentes reais quando URLs de homologação ficam expostas.

Práticas que reduzem exposição

OIDC em vez de chaves longas‑vida, rotação automática, escopo mínimo por job, revisão de Dockerfiles multi‑stage para não deixar segredos em layers intermediários, e política clara de dados em builds (synthetic data, subset anonimizado). Cultura de “pipeline como produto” com revisão de PR igual à de código de negócio.