Questo documento descrive come proteggere le informazioni sensibili con la prevenzione della perdita di dati (DLP) integrata in Secure Source Manager.
La prevenzione della perdita di dati (DLP) in Secure Source Manager migliora la sicurezza del tuo codebase analizzando ogni commit inviato ai tuoi repository, eseguendo la scansione attiva alla ricerca di informazioni sensibili che devono essere criptate o rimosse. Se vengono rilevati questi dati, DLP rifiuta automaticamente il push, impedendo l'unione involontaria di dettagli sensibili.
La DLP in Secure Source Manager considera sensibili le seguenti categorie di informazioni:
- Chiavi di crittografia: include elementi come le chiavi pubbliche SSH.
- Credenziali AWS: chiavi di accesso e chiavi segrete per Amazon Web Services.
- Credenziali Google Cloud: chiavi del service account e altri Google Cloud segreti.
- Client secret OAuth: i segreti utilizzati per l'autenticazione dell'applicazione tramite OAuth.
- Chiavi segrete: chiavi sensibili utilizzate per l'autenticazione o l'autorizzazione.
Abilita la prevenzione della perdita di dati
Assicurati che per il repository siano abilitati i seguenti ruoli e impostazioni.
Ruoli obbligatori
Per ottenere le autorizzazioni
necessarie per abilitare la prevenzione della perdita di dati,
chiedi all'amministratore di concederti il
ruolo IAM Secure Source Manager Repository Admin (roles/securesourcemanager.repoAdmin)
nell'istanza di Secure Source Manager.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Per informazioni sulla concessione dei ruoli Secure Source Manager, consulta Controllo dell'accesso con IAM e Concedere agli utenti l'accesso all'istanza.
Aggiornare le impostazioni del repository
Puoi attivare DLP per i tuoi repository tramite l'interfaccia di Secure Source Manager:
- Vai al repository in cui vuoi attivare la prevenzione della perdita di dati.
- Fai clic sull'icona delle Impostazioni.
- Individua il pulsante di attivazione/disattivazione Prevenzione della perdita di dati.
- Sposta il pulsante di attivazione/disattivazione sulla posizione On.
Utilizzo di DLP in Secure Source Manager
Una volta attivata la DLP, monitora attivamente i commit al repository. Se in un commit vengono identificate informazioni sensibili, il sistema impedisce l'unione del commit e gli utenti ricevono un messaggio di errore nell'interfaccia a riga di comando che indica la presenza di dati sensibili. A questo punto, gli utenti hanno due opzioni:
Ripristinare la modifica
Per rimuovere le informazioni sensibili, puoi ripristinare il commit problematico utilizzando il seguente comando:
git reset --soft sha1-commit-id
Sostituisci sha1-commit-id con l'ID commit effettivo.
Poiché Git conserva la cronologia di tutti i commit, il materiale sensibile può comunque essere
recuperato dai commit precedenti. Per evitare questo problema, utilizza il comando git reset --soft. Quindi, correggi i file ed esegui di nuovo il commit per rimuovere i dati dalla cronologia recente del ramo.
Esegui il push forzato del commit (ignora la DLP)
In situazioni specifiche in cui le informazioni rilevate sono ritenute accettabili, gli utenti con le autorizzazioni appropriate possono scegliere di ignorare il controllo DLP e forzare il push del commit:
git push -o dlpskip=true origin branch-name
Sostituisci branch-name con il nome del ramo che stai unendo.