Ce document décrit comment protéger vos informations sensibles grâce à la protection intégrée contre la perte de données (DLP) dans Secure Source Manager.
La protection contre la perte de données dans Secure Source Manager renforce la sécurité de votre code en analysant chaque commit envoyé à vos dépôts et en recherchant activement les informations sensibles qui doivent être chiffrées ou supprimées. Si de telles données sont détectées, la protection contre la perte de données rejette automatiquement le push, ce qui évite la fusion involontaire de détails sensibles.
Dans Secure Source Manager, la fonctionnalité DLP traite les catégories d'informations suivantes comme sensibles :
- Clés de chiffrement : cela inclut des éléments tels que les clés publiques SSH.
- Identifiants AWS : clés d'accès et clés secrètes pour Amazon Web Services.
- Identifiants GCP : clés de compte de service et autres secrets Google Cloud .
- Codes secrets du client OAuth : codes secrets utilisés pour l'authentification des applications à l'aide d'OAuth.
- Clés secrètes : clés sensibles utilisées pour l'authentification ou l'autorisation.
Activer la protection contre la perte de données
Assurez-vous que les rôles et paramètres suivants sont activés pour votre dépôt.
Rôles requis
Pour obtenir les autorisations nécessaires pour activer la protection contre la perte de données, demandez à votre administrateur de vous accorder le rôle IAM Administrateur du dépôt Secure Source Manager (roles/securesourcemanager.repoAdmin) sur l'instance Secure Source Manager.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Pour savoir comment accorder des rôles Secure Source Manager, consultez Contrôle des accès avec IAM et Accorder aux utilisateurs l'accès à l'instance.
Modifier les paramètres du dépôt
Vous pouvez activer la protection contre la perte de données pour vos dépôts via l'interface Secure Source Manager :
- Accédez au dépôt dans lequel vous souhaitez activer la protection DLP.
- Cliquez sur l'icône Paramètres.
- Localisez le bouton bascule Protection contre la perte de données.
- Faites glisser le bouton bascule sur Activé.
Utiliser la protection contre la perte de données dans Secure Source Manager
Une fois la protection contre la perte de données activée, elle surveille activement les commits dans votre dépôt. Si des informations sensibles sont identifiées dans un commit, le système empêche la fusion du commit et les utilisateurs reçoivent un message d'erreur dans leur interface de ligne de commande indiquant la présence de données sensibles. À ce stade, les utilisateurs ont deux options :
Annuler la modification
Pour supprimer les informations sensibles, vous pouvez annuler le commit problématique à l'aide de la commande suivante :
git reset --soft sha1-commit-id
Remplacez sha1-commit-id par l'ID de commit réel.
Étant donné que Git conserve l'historique de tous les commits, il est toujours possible de récupérer des informations sensibles à partir des commits précédents. Pour éviter cela, utilisez la commande git reset --soft. Corrigez ensuite les fichiers et validez-les à nouveau pour supprimer les données de l'historique récent de la branche.
Forcer l'envoi du commit (contourner la protection contre la perte de données)
Dans certaines situations où les informations détectées sont jugées acceptables, les utilisateurs disposant des autorisations appropriées peuvent choisir de contourner la vérification DLP et d'envoyer le commit de force :
git push -o dlpskip=true origin branch-name
Remplacez branch-name par le nom de la branche que vous fusionnez.