En este documento se describe cómo proteger tu información sensible con la función de prevención de la pérdida de datos (DLP) integrada en Secure Source Manager.
La DLP de Gestor de fuentes seguras mejora la seguridad de tu base de código analizando cada confirmación enviada a tus repositorios y buscando activamente información sensible que deba cifrarse o eliminarse. Si se detectan estos datos, la DLP rechaza automáticamente el envío para evitar que se combinen detalles sensibles por error.
La DLP de Secure Source Manager trata las siguientes categorías de información como sensible:
- Claves de cifrado: incluye elementos como las claves públicas SSH.
- Credenciales de AWS: claves de acceso y claves secretas de Amazon Web Services.
- Credenciales de GCP: claves de cuenta de servicio y otros Google Cloud secretos.
- Secretos de cliente de OAuth: secretos que se usan para la autenticación de aplicaciones mediante OAuth.
- Claves secretas: claves sensibles que se usan para la autenticación o la autorización.
Habilitar la prevención de la pérdida de datos
Asegúrate de que los siguientes roles y ajustes estén habilitados en tu repositorio.
Roles obligatorios
Para obtener los permisos que necesitas para habilitar la prevención de pérdida de datos, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de repositorios de Secure Source Manager (roles/securesourcemanager.repoAdmin) en la instancia de Secure Source Manager.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Para obtener información sobre cómo conceder roles de Secure Source Manager, consulta los artículos Control de acceso con gestión de identidades y accesos y Conceder acceso a instancias a los usuarios.
Actualizar la configuración del repositorio
Puedes activar la DLP en tus repositorios a través de la interfaz de Secure Source Manager:
- Ve al repositorio en el que quieras habilitar la prevención de pérdida de datos.
- Haz clic en el icono Settings (Configuración).
- Busca el interruptor Prevención de la pérdida de datos.
- Desliza el interruptor a la posición Activado.
Trabajar con DLP en Secure Source Manager
Una vez habilitada la DLP, se monitorizan activamente las confirmaciones en tu repositorio. Si se identifica información sensible en una confirmación, el sistema impide que se combine y los usuarios reciben un mensaje de error en su interfaz de línea de comandos que indica la presencia de datos sensibles. En este punto, los usuarios tienen dos opciones:
Deshacer el cambio
Para eliminar la información sensible, puedes revertir la confirmación problemática con el siguiente comando:
git reset --soft sha1-commit-id
Sustituye sha1-commit-id por el ID de confirmación real.
Como Git conserva el historial de todas las confirmaciones, el material sensible se puede recuperar de confirmaciones anteriores. Para evitarlo, usa el comando git reset --soft. A continuación, corrige los archivos y vuelve a confirmarlos para eliminar los datos del historial reciente de la rama.
Forzar el envío del commit (omitir la DLP)
En situaciones concretas en las que la información detectada se considere aceptable, los usuarios con los permisos adecuados pueden omitir la comprobación de DLP y enviar el cambio a la fuerza:
git push -o dlpskip=true origin branch-name
Sustituye branch-name por el nombre de la rama que vas a combinar.