Как исправить Secrets not found в CI/CD

Что такое Secrets not found?

Ошибка Secrets not found возникает, когда CI/CD пайплайн не может найти необходимые секреты (пароли, токены, ключи) для выполнения операций, что приводит к сбою процесса.

Причины возникновения

Секреты не настроены в CI/CD системе
Неправильные имена переменных окружения
Проблемы с правами доступа к секретам
Секреты устарели или были удалены
Проблемы с шифрованием секретов
Неправильная конфигурация vault или secret manager
Проблемы с сетью при доступе к секретам
Ошибки в скриптах загрузки секретов

Как отладить ошибку

Проверь наличие секретов - убедись в их существовании в системе
Проверь имена переменных - убедись в правильности названий
Проверь права доступа - убедись в наличии необходимых прав
Проверь конфигурацию - убедись в правильности настроек
Проверь сетевые подключения - убедись в доступности secret manager

Как исправить ошибку

1. Настрой секреты в GitHub Actions

# .github/workflows/secrets.yml
name: Secrets Management
on: [push]

jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v3
    
    - name: Check secrets availability
      run: |
        # Проверка наличия секретов
        if [ -z "${{ secrets.DATABASE_URL }}" ]; then
          echo "DATABASE_URL secret is missing"
          exit 1
        fi
        
        if [ -z "${{ secrets.API_KEY }}" ]; then
          echo "API_KEY secret is missing"
          exit 1
        fi
    
    - name: Deploy with secrets
      run: |
        # Использование секретов
        echo "Deploying with database: ${{ secrets.DATABASE_URL }}"
        echo "Using API key: ${{ secrets.API_KEY }}"
        
        # Логика деплоя
        kubectl set env deployment/my-app \
          DATABASE_URL="${{ secrets.DATABASE_URL }}" \
          API_KEY="${{ secrets.API_KEY }}"

2. Настрой секреты в GitLab CI

# .gitlab-ci.yml
variables:
  DOCKER_DRIVER: overlay2

stages:
  - deploy

deploy:
  stage: deploy
  image: alpine:latest
  before_script:
    - apk add --no-cache curl
  script:
    - |
      # Проверка секретов
      if [ -z "$DATABASE_URL" ]; then
        echo "DATABASE_URL variable is not set"
        exit 1
      fi
      
      if [ -z "$API_KEY" ]; then
        echo "API_KEY variable is not set"
        exit 1
      fi
      
      # Деплой с секретами
      curl -X POST "https://api.example.com/deploy" \
        -H "Authorization: Bearer $API_KEY" \
        -H "Content-Type: application/json" \
        -d "{\"database_url\":\"$DATABASE_URL\"}"
  only:
    - main

3. Настрой секреты в Jenkins

// Jenkinsfile
pipeline {
    agent any
    
    environment {
        DATABASE_URL = credentials('database-url')
        API_KEY = credentials('api-key')
    }
    
    stages {
        stage('Check Secrets') {
            steps {
                script {
                    // Проверка наличия секретов
                    if (env.DATABASE_URL == null || env.DATABASE_URL.isEmpty()) {
                        error "DATABASE_URL secret is missing"
                    }
                    
                    if (env.API_KEY == null || env.API_KEY.isEmpty()) {
                        error "API_KEY secret is missing"
                    }
                    
                    echo "All secrets are available"
                }
            }
        }
        
        stage('Deploy') {
            steps {
                script {
                    // Использование секретов
                    sh """
                        echo "Deploying with database: \$DATABASE_URL"
                        echo "Using API key: \$API_KEY"
                        
                        # Логика деплоя
                        kubectl set env deployment/my-app \\
                          DATABASE_URL="\$DATABASE_URL" \\
                          API_KEY="\$API_KEY"
                    """
                }
            }
        }
    }
}

4. Настрой секреты в Kubernetes

# k8s-secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: app-secrets
  namespace: default
type: Opaque
data:
  database-url: <base64-encoded-database-url>
  api-key: <base64-encoded-api-key>
  jwt-secret: <base64-encoded-jwt-secret>

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
spec:
  replicas: 3
  selector:
    matchLabels:
      app: my-app
  template:
    metadata:
      labels:
        app: my-app
    spec:
      containers:
      - name: my-app
        image: my-app:latest
        env:
        - name: DATABASE_URL
          valueFrom:
            secretKeyRef:
              name: app-secrets
              key: database-url
        - name: API_KEY
          valueFrom:
            secretKeyRef:
              name: app-secrets
              key: api-key
        - name: JWT_SECRET
          valueFrom:
            secretKeyRef:
              name: app-secrets
              key: jwt-secret

5. Настрой проверку секретов

# secrets_validator.py
import os
import sys
from typing import List, Dict

class SecretsValidator:
    def __init__(self, required_secrets: List[str]):
        self.required_secrets = required_secrets
        self.missing_secrets = []
    
    def validate_secrets(self) -> bool:
        """Проверка наличия всех необходимых секретов"""
        for secret in self.required_secrets:
            if not os.getenv(secret):
                self.missing_secrets.append(secret)
        
        if self.missing_secrets:
            print(f"Missing secrets: {', '.join(self.missing_secrets)}")
            return False
        
        print("All required secrets are available")
        return True
    
    def validate_secret_format(self, secret_name: str, expected_format: str) -> bool:
        """Проверка формата секрета"""
        secret_value = os.getenv(secret_name)
        if not secret_value:
            print(f"Secret {secret_name} is not set")
            return False
        
        # Проверка формата (пример для URL)
        if expected_format == "url" and not secret_value.startswith(("http://", "https://")):
            print(f"Secret {secret_name} is not a valid URL")
            return False
        
        return True
    
    def get_secrets_info(self) -> Dict[str, str]:
        """Получение информации о секретах (без значений)"""
        secrets_info = {}
        for secret in self.required_secrets:
            if os.getenv(secret):
                secrets_info[secret] = "***SET***"
            else:
                secrets_info[secret] = "***MISSING***"
        
        return secrets_info

# Использование
if __name__ == "__main__":
    validator = SecretsValidator([
        "DATABASE_URL",
        "API_KEY", 
        "JWT_SECRET",
        "REDIS_URL"
    ])
    
    if not validator.validate_secrets():
        print("Secrets validation failed")
        sys.exit(1)
    
    print("Secrets validation passed")
    print("Secrets status:", validator.get_secrets_info())

Как мониторить подобные ошибки

Настрой алерты на missing secrets
Мониторь доступность secret manager
Отслеживай использование секретов
Настрой мониторинг прав доступа
Используй метрики для анализа проблем

FAQ

В: Как безопасно хранить секреты в CI/CD?

О: Используй встроенные secret managers, шифруй секреты, применяй принцип минимальных прав.

В: Что делать, если секреты устарели?

О: Настрой автоматическую ротацию секретов, используй временные токены, применяй secret rotation.

В: Как избежать утечек секретов в логах?

О: Используй маскирование в логах, настрой правильные уровни логирования, применяй secret scanning.

Лучшие практики

Всегда проверяй наличие секретов перед использованием
Используй встроенные secret managers CI/CD систем
Настрой автоматическую ротацию секретов
Мониторь доступность и использование секретов
Применяй принцип минимальных прав
Используй secret scanning для предотвращения утечек