Este documento descreve como salvaguardar as suas informações confidenciais com a Prevenção contra a perda de dados (DLP) integrada no Secure Source Manager.
A DLP no Secure Source Manager melhora a segurança da sua base de código através da análise de cada commit enviado para os seus repositórios, procurando ativamente informações confidenciais que devem ser encriptadas ou removidas. Se forem detetados esses dados, a DLP rejeita automaticamente o envio, impedindo a união inadvertida de detalhes confidenciais.
A DLP no Secure Source Manager trata as seguintes categorias de informações como confidenciais:
- Chaves de encriptação: isto inclui itens como chaves públicas de SSH.
- Credenciais da AWS: chaves de acesso e chaves secretas para os Amazon Web Services.
- Credenciais da GCP: chaves da conta de serviço e outros Google Cloud secrets.
- Segredos do cliente OAuth: segredos usados para a autenticação de aplicações através do OAuth.
- Chaves secretas: chaves confidenciais usadas para autenticação ou autorização.
Ative a prevenção contra a perda de dados
Certifique-se de que as seguintes funções e definições estão ativadas para o seu repositório.
Funções necessárias
Para receber as autorizações de que precisa para ativar a prevenção de perda de dados, peça ao seu administrador que lhe conceda a função do IAM Secure Source Manager Repository Admin (roles/securesourcemanager.repoAdmin) na instância do Secure Source Manager.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Para obter informações sobre a concessão de funções do Secure Source Manager, consulte os artigos Controlo de acesso com o IAM e Conceda aos utilizadores acesso à instância.
Atualize as definições do repositório
Pode ativar a DLP para os seus repositórios através da interface do Secure Source Manager:
- Navegue para o repositório onde quer ativar a DLP.
- Clique no ícone Definições.
- Localize o interruptor Prevenção contra a perda de dados.
- Deslize o botão para a posição Ativado.
Trabalhar com DLP no Secure Source Manager
Depois de ativada, a PPD monitoriza ativamente as confirmações no seu repositório. Se forem identificadas informações confidenciais num commit, o sistema impede a união do commit e os utilizadores recebem uma mensagem de erro na respetiva interface de linha de comandos a indicar a presença de dados confidenciais. Neste momento, os utilizadores têm duas opções:
Reverta a alteração
Para remover as informações confidenciais, pode reverter a confirmação problemática através do seguinte comando:
git reset --soft sha1-commit-id
Substitua sha1-commit-id pelo ID de confirmação real.
Uma vez que o Git retém o histórico de todas as confirmações, o material sensível pode continuar a ser recuperado de confirmações anteriores. Para evitar isto, use o comando git reset --soft. Em seguida, corrija os ficheiros e confirme-os novamente para remover os dados do histórico recente do ramo.
Forçar o envio da consolidação (ignorando a DLP)
Em situações específicas em que as informações detetadas são consideradas aceitáveis, os utilizadores com as autorizações adequadas podem optar por ignorar a verificação de DLP e enviar o commit à força:
git push -o dlpskip=true origin branch-name
Substitua branch-name pelo nome da ramificação que está a unir.