Dokumen ini menjelaskan cara mengamankan informasi sensitif Anda dengan pencegahan kebocoran data (DLP) terintegrasi di Secure Source Manager.
DLP di Secure Source Manager meningkatkan keamanan codebase Anda dengan menganalisis setiap commit yang di-push ke repositori Anda, secara aktif memindai informasi sensitif yang harus dienkripsi atau dihapus. Jika data tersebut terdeteksi, DLP akan otomatis menolak push, sehingga mencegah detail sensitif digabungkan secara tidak sengaja.
DLP di Secure Source Manager memperlakukan kategori informasi berikut sebagai sensitif:
- Kunci Enkripsi: Ini mencakup item seperti kunci publik SSH.
- Kredensial AWS: Kunci akses dan kunci rahasia untuk Amazon Web Services.
- Kredensial GCP: Kunci akun layanan dan rahasia Google Cloud lainnya.
- Rahasia Klien OAuth: Rahasia yang digunakan untuk autentikasi aplikasi menggunakan OAuth.
- Kunci Rahasia: Kunci sensitif yang digunakan untuk autentikasi atau otorisasi.
Mengaktifkan pencegahan kebocoran data
Pastikan peran dan setelan berikut diaktifkan untuk repositori Anda.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk mengaktifkan Pencegahan Kehilangan Data, minta administrator untuk memberi Anda peran IAM Secure Source Manager Repository Admin (roles/securesourcemanager.repoAdmin) di instance Secure Source Manager.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran kustom atau peran yang telah ditentukan lainnya.
Untuk mengetahui informasi tentang cara memberikan peran Secure Source Manager, lihat Kontrol akses dengan IAM dan Memberikan akses instance kepada pengguna.
Memperbarui setelan repositori
Anda dapat mengaktifkan DLP untuk repositori melalui antarmuka Secure Source Manager:
- Buka repositori tempat Anda ingin mengaktifkan DLP.
- Klik ikon Settings.
- Cari tombol aktif/nonaktif Pencegahan Kebocoran Data.
- Geser tombol ke posisi Aktif.
Menggunakan DLP di Secure Source Manager
Setelah diaktifkan, DLP akan secara aktif memantau commit ke repositori Anda. Jika informasi sensitif teridentifikasi dalam commit, sistem akan mencegah commit digabungkan, dan pengguna akan menerima pesan error di antarmuka command line yang menunjukkan adanya data sensitif. Pada tahap ini, pengguna memiliki dua opsi:
Mengembalikan perubahan
Untuk menghapus informasi sensitif, Anda dapat mengembalikan commit yang bermasalah menggunakan perintah berikut:
git reset --soft sha1-commit-id
Ganti sha1-commit-id dengan ID commit yang sebenarnya.
Karena Git mempertahankan histori semua commit, materi sensitif masih dapat dipulihkan dari commit sebelumnya. Untuk menghindarinya, gunakan perintah git reset --soft. Kemudian, perbaiki file dan lakukan commit lagi untuk menghapus data dari
histori terbaru cabang.
Memaksa mengirim commit (mengabaikan DLP)
Dalam situasi tertentu saat informasi yang terdeteksi dianggap dapat diterima, pengguna dengan izin yang sesuai dapat memilih untuk melewati pemeriksaan DLP dan melakukan push paksa pada commit:
git push -o dlpskip=true origin branch-name
Ganti branch-name dengan nama cabang yang Anda gabungkan.