保護程式代碼存放庫秘密
適用於雲端的 Defender 通知組織從 GitHub 和 Azure DevOps 在程式代碼存放庫中公開的秘密。 秘密偵測可協助您快速偵測、排定優先順序及補救公開的秘密,例如儲存在程式代碼存放庫內任何檔案中的令牌、密碼、密鑰或認證。
如果偵測到秘密,適用於雲端的 Defender 可協助安全性小組排定優先順序並採取可採取動作的補救步驟,藉由識別秘密可存取的目標資源,將橫向移動的風險降到最低。
程式代碼存放庫秘密掃描如何運作?
程序代碼存放庫的秘密掃描依賴 GitHub 和 Azure DevOps 的 GitHub 進階安全性。 即使儲存機制已封存,GitHub 進階安全性也會掃描存放庫中所有分支上是否有秘密的整個 Git 歷程記錄。
若要深入瞭解,請流覽 GitHub 和 Azure DevOps 的 GitHub 進階安全性檔。
支援的項目有哪些?
程序代碼存放庫秘密掃描可透過必要的 GitHub 進階安全性授權取得。 在 適用於雲端的 Defender 中檢視結果是基礎雲端安全性狀態管理的一部分。 若要偵測運行時間資源的橫向移動可能性,則需要Defender雲端安全性狀態管理。
目前,公開秘密的攻擊路徑僅適用於 Azure DevOps 存放庫。
程式代碼存放庫掃描如何降低風險?
秘密掃描功能可透過下列風險降低來協助降低風險:
- 防止橫向移動:探索程式代碼存放庫中公開的秘密會造成未經授權的存取有重大風險,因為威脅執行者可以利用這些秘密來危害重要資源。
- 消除不需要的秘密:藉由知道特定秘密無法存取租使用者中的任何資源,您可以安全地與開發人員合作來移除這些秘密。 此外,您也會知道秘密何時過期。
- 加強秘密安全性:取得使用 Azure 金鑰保存庫 等秘密管理系統的建議。
如何? 識別和補救秘密問題嗎?
有數種方式可以識別和補救公開的秘密。 不過,並非所有下列方法都支援每個秘密。
- 檢閱秘密建議:在資產上找到秘密時,會針對 [適用於雲端的 Defender 建議] 頁面上的相關程序代碼存放庫觸發建議。
- 使用雲端安全性總管檢閱秘密:使用雲端安全性總管來查詢雲端安全性圖表,以取得包含秘密的程式代碼存放庫。
- 檢閱攻擊路徑:攻擊路徑分析會掃描雲端安全性圖表,以公開攻擊可能用來入侵您的環境並到達高影響力的資產的惡意探索路徑。
安全性建議
以下是可用的秘密安全性建議:
- Azure DevOps 存放庫: Azure DevOps 存放庫應該已解決秘密掃描結果
- GitHub 存放庫: GitHub 存放庫應該已解決秘密掃描結果
攻擊路徑場景
攻擊路徑分析是以圖形為基礎的演算法,可掃描雲端安全性圖表,以公開可惡意探索路徑,攻擊者可能會使用該路徑來到達具有強烈影響的資產。 潛在的攻擊路徑包括:
- Azure DevOps 存放庫包含公開的秘密,其橫向移動至 SQL 資料庫。
- 可公開存取的 Azure DevOps 存放庫包含公開的秘密,並橫向行動至記憶體帳戶。
雲端安全性總管查詢
若要調查公開的秘密和橫向移動的可能性,您可以使用下列查詢:
如何有效地降低秘密問題?
能夠對秘密進行優先排序並識別哪些秘密需要立即關注非常重要。 為了幫助您做到這一點,「適用於雲端的 Defender」提供:
- 每個秘密的豐富元數據,例如檔案路徑、行號、數據行、認可哈希、檔案 URL、GitHub 進階安全性警示 URL,以及秘密是否提供存取權的目標資源指示。
- 結合雲端資產內容的秘密元數據。 這可協助您從公開至因特網的資產開始,或包含可能會危害其他敏感性資產的秘密。 秘密掃描發現結果會併入風險型建議優先順序。