Защита секретов репозитория кода

Defender для облака уведомляет организации о предоставленных секретах в репозиториях кода из GitHub и Azure DevOps. Обнаружение секретов помогает быстро обнаруживать, определять приоритеты и устранять открытые секреты, такие как маркеры, пароли, ключи или учетные данные, хранящиеся в любом файле в репозитории кода. 

Если обнаружены секреты, Defender для облака может помочь вашей группе безопасности определить приоритеты и предпринять действия по исправлению, чтобы свести к минимуму риск бокового перемещения, определив целевой ресурс, к которому может получить доступ секрет. 

Как работает сканирование секретов репозитория кода?

Сканирование секретов для репозиториев кода зависит от расширенной безопасности GitHub для GitHub и Azure DevOps. GitHub Advanced Security сканирует всю историю Git во всех ветвях, присутствующих в репозитории для секретов, даже если репозиторий архивирован. 

Дополнительные сведения см. в документации по расширенной безопасности GitHub для GitHub и Azure DevOps.  

Что поддерживается?

Проверка секретов репозитория кода доступна с необходимой лицензией GitHub Advanced Security. Просмотр результатов в Defender для облака предоставляется в рамках foundational Cloud Security Posture Management. Чтобы обнаружить возможности бокового перемещения для ресурсов среды выполнения, требуется управление posture Defender Cloud Security.  

В настоящее время пути атаки для открытых секретов доступны только для репозиториев Azure DevOps.  

Как сканирование репозитория кода снижает риск?

Сканирование секретов помогает снизить риск со следующими рисками:

• Предотвращение бокового перемещения: обнаружение открытых секретов в репозиториях кода представляет значительный риск несанкционированного доступа, так как субъекты угроз могут использовать эти секреты для компрометации критически важных ресурсов. 
• Устранение секретов, которые не нужны: зная, что определенные секреты не имеют доступа к каким-либо ресурсам в клиенте, вы можете безопасно работать с разработчиками, чтобы удалить эти секреты. Кроме того, вы узнаете, когда истек срок действия секретов. 
• Укрепление безопасности секретов: получение рекомендаций по использованию систем управления секретами, таких как Azure Key Vault. 

Разделы справки выявлять и устранять проблемы с секретами?

Существует несколько способов выявления и исправления открытых секретов. Однако для каждого секрета поддерживается не каждый приведенный ниже метод. 

• Просмотрите рекомендации по секретам: когда секреты находятся в ресурсах, рекомендация активируется для соответствующего репозитория кода на странице рекомендаций Defender для облака.  
• Просмотрите секреты с помощью облачного обозревателя безопасности: используйте cloud security explorer для запроса графа облачной безопасности для репозиториев кода, содержащих секреты.  
• Просмотрите пути атаки: анализ пути атаки сканирует граф облачной безопасности, чтобы предоставить доступ к эксплойтируемым путям, которые могут использоваться для нарушения среды и достижения ресурсов с высоким уровнем влияния.  

Рекомендации по обеспечению безопасности

Доступны следующие рекомендации по безопасности секретов:

• Репозитории Azure DevOps: репозитории Azure DevOps должны иметь разрешения на проверку секретов. 
• Репозитории GitHub: репозитории GitHub должны иметь разрешение на проверку секретов. 

Сценарии пути атаки

Анализ пути атаки — это алгоритм на основе графа, который сканирует граф облачной безопасности для предоставления эксплойтируемых путей, которые злоумышленники могут использовать для достижения ресурсов с высоким уровнем влияния. Возможные пути атаки:

• Репозиторий Azure DevOps содержит предоставленный секрет с боковой перемещением в базу данных SQL. 
• Общедоступный репозиторий Azure DevOps содержит предоставленный секрет с боковой перемещением в учетную запись хранения.  

Запросы Cloud Security Explorer

Для изучения открытых секретов и возможностей бокового перемещения можно использовать следующие запросы:

• Репозитории кода содержат секреты 
• Репозитории Azure DevOps содержат секреты, которые могут проходить проверку подлинности в хранилище объектов или управляемых базах данных 

Разделы справки эффективно устранять проблемы с секретами?

Важно иметь возможность определять приоритеты секретов и определять, какие из них требуют немедленного внимания. Для этого Defender для облака предоставляет следующие возможности:

• Расширенные метаданные для каждого секрета, например путь к файлу, номер строки, столбец, хэш фиксации, URL-адрес файла, URL-адрес оповещения расширенной безопасности GitHub и указание на наличие целевого ресурса, которому предоставляются секреты. 
• Метаданные секретов в сочетании с контекстом облачных ресурсов. Это поможет вам начать с ресурсов, которые предоставляются в Интернете или содержат секреты, которые могут скомпрометировать другие конфиденциальные ресурсы. Результаты сканирования секретов включаются в определение приоритетов на основе рисков. 

Связанный контент

Общие сведения о безопасности DevOps для облачных развертываний с проверкойсекретов виртуальных машин