32-4 · Bab 32 · 6 menit baca

Bagaimana Secret Bocor Lewat Log, Artifact Build, dan Riwayat Git

Pelajari bagaimana secret bisa bocor melalui log pipeline, artifact build, dan riwayat Git, serta cara mencegahnya dengan scanning otomatis dan rotasi secret.

Bagaimana Secret Bocor Lewat Log, Artifact Build, dan Riwayat Git

Kamu baru saja selesai menyiapkan pipeline CI/CD untuk mengambil secret secara aman dari vault. Pipeline berjalan, aplikasi terdeploy, dan semuanya tampak hijau. Seminggu kemudian, seseorang di tim menemukan password database tercetak di log pipeline dari tiga hari lalu. Tidak ada yang tahu siapa yang melihatnya. Tidak ada yang tahu apakah password itu sudah disalin. Password itu kini efektif menjadi publik.

Skenario ini lebih sering terjadi daripada yang diperkirakan tim. Vault-nya sendiri aman. Integrasi pipeline-nya berfungsi. Tapi secret tidak selalu bocor melalui sistem penyimpanan. Secret bocor melalui tempat-tempat di mana mereka tidak sengaja berakhir: log, artifact build, dan riwayat Git.

Mengapa Log Pipeline Menjadi Titik Bocor

Log pipeline adalah tempat pertama secret bisa lolos. Saat pengembangan atau debugging, tim sering mencetak environment variable untuk melihat apa yang terjadi. Ketika sebuah aplikasi gagal terhubung ke database, seseorang menambahkan print statement cepat yang membuang seluruh connection string termasuk password-nya. Entri log itu tersimpan di server CI/CD, dapat diakses oleh siapa pun yang memiliki akses log.

Masalahnya adalah log tidak dirotasi atau dibersihkan secara otomatis di sebagian besar pengaturan. Secret yang muncul di log hari ini akan tetap ada di sana tanpa batas waktu. Siapa pun yang bergabung dengan tim nanti, siapa pun yang mengaudit pipeline, siapa pun yang memiliki akses baca ke log dapat melihatnya. Begitu secret masuk ke log, kamu kehilangan kendali atas siapa yang melihatnya.

Contohnya, pertimbangkan skrip deployment yang mencetak environment variable untuk debugging:

#!/bin/bash
# Debug: cetak detail koneksi
echo "Menghubungkan ke database..."
echo "DB_PASSWORD=$DB_PASSWORD"  # Tidak sengaja mencetak secret
# Perintah koneksi sebenarnya
psql "host=$DB_HOST user=$DB_USER password=$DB_PASSWORD dbname=$DB_NAME"

Log pipeline akan menampilkan:

Menghubungkan ke database...
DB_PASSWORD=supersecret123

Baris itu sekarang hidup di penyimpanan log server CI/CD, dapat diakses oleh siapa pun yang memiliki akses log.

Log juga sering dibagikan. Seorang developer menempelkan potongan log ke saluran chat untuk meminta bantuan. Potongan itu berisi password. Kini secret itu ada di riwayat chat juga. Bahkan jika kamu menghapus pesannya, salinan cache mungkin masih tersisa.

Artifact Build Membawa Secret Tanpa Peringatan

Artifact build adalah titik bocor yang kurang jelas, tapi sama berbahayanya. Ketika kamu membangun JAR, Docker image, atau file ZIP, proses build menyalin file dari direktori sumber ke dalam artifact. File konfigurasi yang berisi secret bisa berakhir di dalam artifact tanpa disadari siapa pun.

Contoh umum adalah file .env yang digunakan saat pengembangan lokal. File itu ada di direktori proyek, dan skrip build menyalin semuanya ke folder output. File .env berakhir di dalam Docker image atau JAR. Artifact itu didorong ke registry. Kini siapa pun yang menarik image itu atau mengunduh artifact tersebut dapat mengekstrak file konfigurasi dan membaca secret-nya.

Bagian berbahayanya adalah memperbaiki file sumber tidak memperbaiki artifact. Jika kamu menghapus file .env dari sumber dan membangun ulang, artifact baru akan bersih. Tapi artifact lama di registry masih berisi secret. Kecuali kamu menghapus artifact lama secara eksplisit, secret tetap dapat diakses oleh siapa pun yang mengetahui tag atau digest-nya.

Riwayat Git Hampir Mustahil Dibersihkan

Riwayat Git adalah titik bocor paling berbahaya karena dirancang untuk bersifat permanen. Ketika kamu melakukan commit pada file yang berisi secret, secret itu tercatat di commit tersebut. Bahkan jika kamu menghapus file di commit berikutnya, secret itu masih ada di riwayat commit. Siapa pun yang melakukan clone repositori dengan riwayat lengkap bisa checkout commit lama dan membaca secret-nya.

Banyak tim menemukan ini berbulan-bulan atau bertahun-tahun kemudian. Seseorang mencari codebase untuk file konfigurasi dan menemukan commit lama yang berisi kredensial database produksi. Secret itu sudah terekspos selama berbulan-bulan. Tim tidak tahu siapa yang melakukan clone repositori selama waktu itu atau apakah secret itu sudah diekstrak.

Force push untuk menulis ulang riwayat bisa menghapus secret dari repositori remote, tapi tidak membantu untuk clone yang sudah ada. Siapa pun yang sudah melakukan clone repositori masih memiliki secret di riwayat lokal mereka. Kamu tidak bisa memaksa mereka menghapus salinan lokal mereka. Satu-satunya respons yang aman adalah segera merotasi secret tersebut.

Cara Mencegah Kebocoran Secret Secara Otomatis

Mencegah kebocoran secret membutuhkan beberapa lapis pertahanan. Tidak ada satu alat atau praktik pun yang bisa menangkap semuanya. Tujuannya adalah menangkap secret sejak dini, sebelum mereka mencapai log, artifact, atau riwayat Git.

Diagram di bawah memetakan setiap jalur bocor ke kontrol pencegahan utamanya dan respons akhir.

flowchart TD A[Secret di Source Code] --> B{Jalur Bocor} B --> C[Log Pipeline] B --> D[Artifact Build] B --> E[Riwayat Git] C --> F[Scanning Pipeline] D --> G[Ignore Files + Scanning Pipeline] E --> H[Scanning Pre-commit] F --> I[Rotasi Segera] G --> I H --> I I[Rotasi Secret & Cabut yang Lama]

Scanning Pre-commit

Pasang secret scanner sebagai pre-commit hook. Alat seperti git-secrets, truffleHog, dan Gitleaks memindai file yang di-stage untuk pola yang terlihat seperti API key, token, password, atau secret lainnya. Jika scanner mendeteksi pola mencurigakan, commit akan diblokir dan developer mendapat pesan yang menjelaskan apa yang ditemukan.

Scanning pre-commit menangkap secret sebelum mereka masuk ke riwayat Git. Ini adalah titik paling efektif untuk menghentikan kebocoran karena secret tidak pernah mencapai repositori. Developer bisa menghapus secret, menambahkan file ke .gitignore, dan melakukan commit lagi.

Scanning Pipeline

Pre-commit hook bisa dilewati. Developer bisa melewati hook, memasangnya dengan tidak benar, atau bekerja di mesin yang tidak memiliki hook yang dikonfigurasi. Itulah mengapa kamu membutuhkan lapisan scanning kedua di pipeline.

Banyak platform CI/CD menawarkan scanning bawaan atau plugin yang memeriksa output log dan artifact build untuk secret. GitHub Actions memiliki secret scanning. GitLab CI menyertakan deteksi secret di alat SAST-nya. Jenkins memiliki plugin untuk credential scanning. Ketika scanner mendeteksi secret di baris log atau file artifact, pipeline bisa gagal atau mengirim peringatan.

Scanning pipeline menangkap secret yang lolos dari pre-commit hook. Ini juga menangkap secret yang masuk ke pipeline melalui cara lain, seperti environment variable yang tidak sengaja dicetak selama langkah build.

Gunakan Ignore Files dengan Disiplin

.gitignore dan .dockerignore adalah alat yang sederhana namun efektif. File konfigurasi yang berisi secret harus didaftarkan di kedua file tersebut sehingga mereka tidak pernah masuk ke repositori Git atau konteks build Docker. Tapi ignore files bukanlah solusi lengkap. Developer bisa lupa memperbaruinya, atau mereka bisa tidak sengaja menimpanya dengan force add.

Anggap ignore files sebagai pertahanan dasar, bukan pertahanan utama. Gabungkan dengan scanning otomatis untuk menangkap kasus di mana ignore file gagal.

Rotasi Segera Saat Kebocoran Terdeteksi

Jika secret bocor ke riwayat Git, jangan mencoba membersihkan riwayat. Menghapus commit atau menulis ulang riwayat tidak cukup karena clone yang sudah ada masih memiliki secret. Satu-satunya tindakan aman adalah segera merotasi secret tersebut.

Buat password, token, atau kunci baru. Perbarui semua sistem yang menggunakan secret lama. Cabut secret lama sehingga tidak bisa lagi digunakan untuk autentikasi. Kemudian pastikan secret baru disimpan di vault kamu dan diakses melalui pipeline, bukan di-hardcode di mana pun.

Checklist Praktis untuk Mencegah Kebocoran Secret

Pasang secret scanner sebagai pre-commit hook untuk semua repositori.
Aktifkan secret scanning di pipeline CI/CD untuk log dan artifact.
Tambahkan file konfigurasi dengan secret ke .gitignore dan .dockerignore.
Tinjau log pipeline secara berkala untuk paparan secret yang tidak sengaja.
Rotasi secret apa pun yang telah terekspos, bahkan jika kamu menganggap paparannya kecil.

Kesimpulan

Manajemen secret tidak berakhir ketika kamu mengintegrasikan vault dengan pipeline. Vault menjaga secret tetap aman saat diam, tapi pipeline masih bisa membocorkannya melalui log, artifact, dan riwayat Git. Satu-satunya cara untuk mencegah kebocoran adalah dengan memindai di setiap tahap: sebelum commit, selama build, dan setelah deployment. Dan ketika kebocoran terjadi, jangan mencoba menghapus bukti. Rotasi secret-nya. Itulah satu-satunya tindakan yang benar-benar memperbaiki masalah.