连续集成和连续交付（CI/CD）平台对于管理关键的IT系统和软件发布至关重要。随着DevOps文化和基础架构 - 代码实践的兴起，CI/CD系统还管理整个基础架构和应用程序堆栈。结果，这些平台通常会存储秘密，以授予对高度敏感资源的访问，例如云管理员IAM身份和软件分发帐户。

不幸的是，软件供应链中CI/CD平台的重要性使它们成为寻求损害敏感数据的对手的目标。这最近的Circleci违规只是这种攻击模式的一个例子。其他CI/CD提供商，例如Travisci，也遭受了类似的安全事件。Circleci建议其客户旋转其平台上存储的所有秘密；这是标准的安全事件响应实践。但是，这种反应性的秘密轮换活动需要为大型组织重大努力。对于此类组织而言，创建CI/CD中存储的所有秘密的清单是一项不平凡的任务。

为了解决此问题并提高安全性，必须摆脱CI/CD中使用长寿秘密和单因素身份验证技术。为此，在Stepercurity上，我们开发了一个名为的开源项目等待秘密。等待秘密的秘密不是依靠CI/CD平台提供秘密，而是允许项目所有者在执行CI/CD管道时交互式提供它们。这种方法消除了在CI/CD平台中存储长寿命访问键的需求。该部署模型还减少了组织需要维护的秘密数量，因为您可以重复使用现有帐户，而不是为CI/CD创建专用帐户。此外，等待秘密可以在CI/CD中启用多因素身份验证，为敏感操作提供了额外的安全层。

我们强烈建议它用于特权秘密，以增强软件供应链中的安全性。给等待秘密如果您在CI/CD中使用长寿秘密执行敏感操作，请尝试一下。