Granulare Job Token Berechtigungen sind jetzt verfügbar

CI/CD Pipelines erben oft überprivilegierte Berechtigungen von Benutzerkonten, was erhebliche Sicherheitsrisiken birgt, wenn Pipelines kompromittiert oder Tokens geleakt werden. GitLab 18.3 führt granulare Berechtigungen für Job Tokens ein, um dieses Problem zu lösen, und überführt diese Sicherheitsverbesserung von Beta zu GA.

Diese Funktion ermöglicht es Maintainern, granulare Berechtigungen zu implementieren, die den Job-Token-Zugriff auf API-Ressourcen kontrollieren. Gemäß dem Principle of Least Privilege haben diese Job Tokens keinerlei Zugriffsmöglichkeit auf API-Ressourcen, bis explizit Berechtigungen erteilt werden.

Diese erste Version umfasst granulare Berechtigungen für die folgenden Ressourcen:

• Repositories
• Deployments
• Environments
• Jobs
• Packages
• Pipelines
• Releases
• Secure Files
• Terraform State

Zusätzliche API-Endpunkte sind für zukünftige Releases geplant. Weitere Informationen finden sich im zugehörigen Epic.

Das Gesamtbild

Diese Version stellt einen wichtigen Schritt in GitLabs übergeordneter Mission dar, die Sicherheit der Software-Supply-Chain zu verbessern. Historisch waren Job Tokens an den Benutzer gebunden, der die Pipeline ausführt, wodurch dessen Privilegien geerbt wurden und Sicherheitsrisiken entstanden, wenn Pipelines kompromittiert wurden.

Granulare Berechtigungen für Job Tokens bieten eine Grundlage für ein sichereres CI/CD-Ökosystem, das:

• Die Angriffsfläche reduziert: Implementiert das Principle of Least Privilege durch Beschränkung des Zugriffs auf nur notwendige Ressourcen
• Die Abhängigkeit von langlebigen Tokens eliminiert: Bietet eine sichere Alternative, die den Bedarf an persönlichen Zugriffstokens und anderen persistenten Anmeldedaten reduziert
• Auf maschinenbasierte Identität vorbereitet: Dieser Opt-in-Ansatz legt den Grundstein dafür, Job Tokens perspektivisch vollständig von Benutzeridentitäten zu entkoppeln und sich in Richtung echter Machine-to-Machine-Authentifizierung zu bewegen
• Sichere Automatisierung im großen Maßstab ermöglicht: Unterstützt komplexe Deployment-Workflows und CI/CD-Komponenten ohne Kompromisse bei der Sicherheit

Erste Schritte

Security-Teams und DevOps-Ingenieure sollten diese Funktion für alle Projekte evaluieren, die automatisierte Deployments, Package-Veröffentlichungen oder Infrastructure Management durchführen. Da es sich um eine Opt-in-Funktion handelt, kann die Migration schrittweise erfolgen, um Störungen bestehender Pipelines zu minimieren.

Beginnen Sie damit, die kritischsten Pipelines zu identifizieren und deren aktuelle Berechtigungsanforderungen zu prüfen. Aktivieren Sie dann granulare Berechtigungen und konfigurieren Sie den minimalen Zugriff, der für jedes Projekt benötigt wird. Weitere Informationen finden sich in der Dokumentation zu granularen Berechtigungen für CI/CD Job Tokens.