In diesem Dokument wird beschrieben, wie Sie Ihre vertraulichen Informationen mit dem integrierten Schutz vor Datenverlust (Data Loss Prevention, DLP) in Secure Source Manager schützen können.
DLP in Secure Source Manager erhöht die Sicherheit Ihres Quellcodes, indem jeder Commit analysiert wird, der in Ihre Repositorys übertragen wird. Dabei wird aktiv nach vertraulichen Informationen gesucht, die verschlüsselt oder entfernt werden sollten. Wenn solche Daten erkannt werden, lehnt DLP den Push automatisch ab, um zu verhindern, dass sensible Details versehentlich zusammengeführt werden.
Bei DLP in Secure Source Manager werden die folgenden Kategorien von Informationen als vertraulich behandelt:
- Verschlüsselungsschlüssel: Dazu gehören Elemente wie öffentliche SSH-Schlüssel.
- AWS-Anmeldedaten: Zugriffsschlüssel und geheime Schlüssel für Amazon Web Services.
- GCP-Anmeldedaten: Dienstkontoschlüssel und andere Google Cloud Secrets.
- OAuth-Clientschlüssel: Schlüssel, die für die Anwendungsauthentifizierung mit OAuth verwendet werden.
- Geheime Schlüssel: Vertrauliche Schlüssel, die für die Authentifizierung oder Autorisierung verwendet werden.
Schutz vor Datenverlust aktivieren
Achten Sie darauf, dass die folgenden Rollen und Einstellungen für Ihr Repository aktiviert sind.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Secure Source Manager Repository Admin (roles/securesourcemanager.repoAdmin) für die Secure Source Manager-Instanz zuzuweisen, damit Sie die Berechtigungen erhalten, die Sie zum Aktivieren von Data Loss Prevention benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Informationen zum Zuweisen von Secure Source Manager-Rollen finden Sie unter Zugriffssteuerung mit IAM und Nutzern Instanzzugriff gewähren.
Repository-Einstellungen aktualisieren
Sie können DLP für Ihre Repositories über die Secure Source Manager-Oberfläche aktivieren:
- Rufen Sie das Repository auf, in dem Sie DLP aktivieren möchten.
- Klicken Sie auf Settings (Einstellungen).
- Suchen Sie den Ein/Aus-Schalter für Schutz vor Datenverlust.
- Stellen Sie den Schalter auf Ein.
Mit DLP in Secure Source Manager arbeiten
Sobald DLP aktiviert ist, werden Commits in Ihrem Repository aktiv überwacht. Wenn in einem Commit vertrauliche Informationen erkannt werden, verhindert das System, dass der Commit zusammengeführt wird. Nutzer erhalten in der Befehlszeilenschnittstelle eine Fehlermeldung, die auf das Vorhandensein vertraulicher Daten hinweist. An diesem Punkt haben Nutzer zwei Möglichkeiten:
Änderung rückgängig machen
Um die vertraulichen Informationen zu entfernen, können Sie den problematischen Commit mit dem folgenden Befehl rückgängig machen:
git reset --soft sha1-commit-id
Ersetzen Sie sha1-commit-id durch die tatsächliche Commit-ID.
Da Git den Verlauf aller Commits beibehält, können vertrauliche Inhalte weiterhin aus früheren Commits wiederhergestellt werden. Verwenden Sie dazu den Befehl git reset --soft. Korrigieren Sie dann die Dateien und übertragen Sie sie noch einmal, um die Daten aus dem letzten Verlauf des Zweigs zu entfernen.
Commit per Force-Push übertragen (DLP umgehen)
In bestimmten Situationen, in denen die erkannten Informationen als akzeptabel gelten, können Nutzer mit den entsprechenden Berechtigungen die DLP-Prüfung umgehen und den Commit erzwingen:
git push -o dlpskip=true origin branch-name
Ersetzen Sie branch-name durch den Namen des zusammenzuführenden Zweigs.