Wie man die Offenlegung von Secrets in Repositories verhindert

ironlung · 2024-02-20T22:50:56+09:00

Git-Hosting-Plattformen wie GitHub, GitLab, Azure DevOps und Bitbucket unterstützen Funktionen, um die Offenlegung von Secrets zu verhindern GitHub: Bietet Funktionen, um das Pushen von Secrets in Repositories einzuschränken und vorhandene Secrets im Repository zu scannen GitLab: Prüft Git-Repositories im Vorfeld, um potenzielle Secrets wie API-Schlüssel, Passwörter und Tokens zu erkennen, bevor sie versehentlich committet und offengelegt werden Wenn die Secret-Scanning-Funktion von GitLab aktiviert ist, wird ein Job ausgeführt, der das Repository auf Secrets überprüft Dies kann auch durch Aktivieren von Auto DevOps oder durch Bearbeiten der .gitlab-ci.yml konfiguriert werden Microsoft Azure: Unterstützt Secret Scanning in Azure DevOps-Repositories im Rahmen der GitHub Advanced Security-Lizenz für Azure DevOps-Repositories Bietet dabei zusammen mit Funktionen wie Dependency Scanning und Code Scanning sowohl Secret Scanning als auch Push Protection Bitbucket: Scannt Repositories nach Secrets und löst Benachrichtigungen aus, wenn in neuen Commits offengelegte Secrets erkannt werden E-Mail-Benachrichtigungen werden an alle gesendet, die in der Commit-Historie des Secrets enthalten sind, darunter Autor, Committer und Entwickler, die Code mit dem Secret in das Repository gepusht oder gemergt haben

(infracloud.io)

12 Punkte von ironlung 2024-02-20 | 5 Kommentare | Auf WhatsApp teilen

Git-Hosting-Plattformen wie GitHub, GitLab, Azure DevOps und Bitbucket unterstützen Funktionen, um die Offenlegung von Secrets zu verhindern
GitHub:
- Bietet Funktionen, um das Pushen von Secrets in Repositories einzuschränken und vorhandene Secrets im Repository zu scannen
GitLab:
- Prüft Git-Repositories im Vorfeld, um potenzielle Secrets wie API-Schlüssel, Passwörter und Tokens zu erkennen, bevor sie versehentlich committet und offengelegt werden
- Wenn die Secret-Scanning-Funktion von GitLab aktiviert ist, wird ein Job ausgeführt, der das Repository auf Secrets überprüft
- Dies kann auch durch Aktivieren von Auto DevOps oder durch Bearbeiten der .gitlab-ci.yml konfiguriert werden
Microsoft Azure:
- Unterstützt Secret Scanning in Azure DevOps-Repositories im Rahmen der GitHub Advanced Security-Lizenz für Azure DevOps-Repositories
- Bietet dabei zusammen mit Funktionen wie Dependency Scanning und Code Scanning sowohl Secret Scanning als auch Push Protection
Bitbucket:
- Scannt Repositories nach Secrets und löst Benachrichtigungen aus, wenn in neuen Commits offengelegte Secrets erkannt werden
- E-Mail-Benachrichtigungen werden an alle gesendet, die in der Commit-Historie des Secrets enthalten sind, darunter Autor, Committer und Entwickler, die Code mit dem Secret in das Repository gepusht oder gemergt haben

5 Kommentare

cremit 2024-02-20

Es ist wirklich erfreulich, dass man das Problem von Secret-Leaks auch auf GeekNews sehen kann.
Wir sind ein Startup, das den Service https://cremit.io entwickelt.
Wenn sich der Bereich „Integrations“ der im Artikel genannten Tools nur auf DevSecOps-Tools konzentriert,
unterscheidet sich unser Service dadurch, dass wir ihn auch auf den Bereich der Collaboration-Tools ausweiten und den Security-Betrieb mit Fokus auf Secrets / Credentials unterstützen. :)

ninebow 2024-02-21

Oh, könnten Sie das später vielleicht einmal bei Show GN vorstellen? Das interessiert mich +_+

cremit 2024-02-21

Wir planen, bald auf Public Open umzustellen!
Wir werden es auf jeden Fall mit Ihnen teilen können. :)

ironlung 2024-02-27

Ein interessanter Service! Bitte stellt ihn unbedingt vor!

cremit 2024-03-09

Hallo! Ich habe auf Show GN eine kurze Vorstellung gepostet!
https://de.news.hada.io/topic?id=13725
Vielen Dank für das Interesse! haha

Wie man die Offenlegung von Secrets in Repositories verhindert

Verwandte Beiträge

5 Kommentare