DOS6049: CI/CD variable environment scope should not be wildcard '*' | Security KB - DevOps Shield - La plateforme DevSecOps ultime conçue pour sécuriser votre DevOps.

Ce site Web stocke des témoins sur votre ordinateur. Ces témoins servent à recueillir des renseignements sur la façon dont vous interagissez avec notre site Web et nous permettent de nous souvenir de vous. Nous utilisons ces renseignements pour améliorer et personnaliser votre expérience de navigation, ainsi que pour des analyses et des mesures concernant nos visiteurs, tant sur ce site Web que sur d’autres médias. Pour en savoir plus sur les témoins que nous utilisons, consultez notre Politique de confidentialité.

Si vous refusez, vos renseignements ne seront pas suivis lorsque vous visiterez ce site Web. Un seul témoin sera utilisé dans votre navigateur pour mémoriser votre préférence de ne pas être suivi. En cliquant sur « Tout accepter », vous acceptez le stockage de témoins sur votre appareil pour améliorer la navigation sur le site, analyser l’utilisation du site et nous aider dans nos efforts de marketing.

GitLab project Severitymedium builtIn

Description

CI/CD variables should not use the wildcard environment_scope = '*' for sensitive secrets (production database credentials, signing keys, deploy tokens). A wildcard scope makes the variable available to every environment, including staging/dev pipelines that may run untrusted code. Use environment-specific scopes (production, staging, dev) and replicate per environment with appropriate values.

Recommandation

1. Go to project Settings > CI/CD > Variables (or group equivalent). 
2. For sensitive variables with environment_scope = '*', edit and set a specific environment name (e.g., production). 
3. Add separate variable entries for other environments with appropriate values. 
4. Verify the protected-branch + environment-scope combination matches your deployment topology.

Règle de politique

{
  "target": "GLCiVariable",
  "if": {
    "allOf": [
      {
        "resource": "GLCiVariable",
        "property": "EnvironmentScope",
        "operator": "notEquals",
        "value": "*"
      }
    ]
  },
  "then": {
    "effect": "Audit"
  }
}

« DOS6048 DOS6050 »

Détails de la règle

ID de la règle: DOS6049
Code: GL_CiVariable_EnvironmentScope_Should_Not_Be_All
Plateforme: GitLab
Catégorie: project
Sévérité: Severitymedium
Type: builtIn

DOS6049

CI/CD variable environment scope should not be wildcard '*'

DOS6049

Description

Recommandation

Règle de politique

Voir la logique d'évaluation (JSON)

Détails de la règle

Règles connexes