En este documento, se describe cómo proteger tu información sensible con la prevención de pérdida de datos (DLP) integrada en Secure Source Manager.
La DLP en Secure Source Manager mejora la seguridad de tu base de código analizando cada confirmación enviada a tus repositorios y buscando de forma activa información sensible que debería encriptarse o quitarse. Si se detectan datos de este tipo, la DLP rechaza automáticamente la inserción, lo que evita que se combinen detalles sensibles de forma involuntaria.
La DLP en Secure Source Manager trata las siguientes categorías de información como sensibles:
- Claves de encriptación: Incluyen elementos como las claves públicas SSH.
- Credenciales de AWS: Son las claves de acceso y las claves secretas para Amazon Web Services.
- Credenciales de GCP: Claves de cuentas de servicio y otros Google Cloud secrets.
- Secretos de cliente de OAuth: Son los secretos que se usan para la autenticación de aplicaciones con OAuth.
- Claves secretas: Son claves sensibles que se usan para la autenticación o autorización.
Habilita la prevención de pérdida de datos
Asegúrate de que los siguientes roles y parámetros de configuración estén habilitados para tu repositorio.
Roles requeridos
Para obtener los permisos que necesitas para habilitar la Prevención de pérdida de datos, pídele a tu administrador que te otorgue el rol de IAM de Administrador del repositorio de Secure Source Manager (roles/securesourcemanager.repoAdmin) en la instancia de Secure Source Manager.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Para obtener información sobre cómo otorgar roles de Secure Source Manager, consulta Control de acceso con IAM y Cómo otorgar acceso a la instancia a los usuarios.
Actualiza la configuración del repositorio
Puedes activar la DLP para tus repositorios a través de la interfaz de Secure Source Manager:
- Navega al repositorio en el que deseas habilitar la DLP.
- Luego, haz clic en el ícono de configuración.
- Ubica el botón de activación de Prevención de pérdida de datos.
- Desliza el botón de activación a la posición Activado.
Trabaja con la DLP en Secure Source Manager
Una vez que se habilita la DLP, supervisa activamente las confirmaciones en tu repositorio. Si se identifica información sensible en una confirmación, el sistema impide que se combine y los usuarios reciben un mensaje de error en su interfaz de línea de comandos que indica la presencia de datos sensibles. En este punto, los usuarios tienen dos opciones:
Cómo revertir el cambio
Para quitar la información sensible, puedes revertir la confirmación problemática con el siguiente comando:
git reset --soft sha1-commit-id
Reemplaza sha1-commit-id por el ID de confirmación real.
Dado que Git conserva el historial de todas las confirmaciones, el material sensible se puede recuperar de confirmaciones anteriores. Para evitarlo, usa el comando git reset --soft. Luego, corrige los archivos y vuelve a confirmarlos para quitar los datos del historial reciente de la rama.
Forzar la confirmación del envío (omitir la DLP)
En situaciones específicas en las que la información detectada se considera aceptable, los usuarios con los permisos adecuados pueden optar por omitir la verificación de la DLP y enviar el commit de forma forzada:
git push -o dlpskip=true origin branch-name
Reemplaza branch-name por el nombre de la rama que deseas combinar.