Este documento descreve como proteger suas informações sensíveis com a Prevenção contra perda de dados (DLP) integrada no Secure Source Manager.
A DLP no Secure Source Manager aumenta a segurança da sua base de código ao analisar cada commit enviado aos repositórios, verificando ativamente informações sensíveis que precisam ser criptografadas ou removidas. Se esses dados forem detectados, a DLP vai rejeitar automaticamente o push, impedindo que detalhes sensíveis sejam mesclados por engano.
O DLP no Secure Source Manager trata as seguintes categorias de informações como sensíveis:
- Chaves de criptografia: inclui itens como chaves públicas SSH.
- Credenciais da AWS: chaves de acesso e chaves secretas para a Amazon Web Services.
- Credenciais do GCP: chaves de conta de serviço e outros Google Cloud secrets.
- Chaves secretas do cliente OAuth: chaves secretas usadas para autenticação de aplicativos com OAuth.
- Chaves secretas: chaves sensíveis usadas para autenticação ou autorização.
Ativar a Prevenção contra perda de dados
Verifique se as seguintes funções e configurações estão ativadas para seu repositório.
Funções exigidas
Para receber as permissões necessárias para ativar a Prevenção contra perda de dados,
peça ao administrador para conceder a você o papel do IAM
Administrador do repositório do Secure Source Manager (roles/securesourcemanager.repoAdmin)
na instância do Secure Source Manager.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Para informações sobre como conceder papéis do Secure Source Manager, consulte Controle de acesso com o IAM e Conceder acesso à instância aos usuários.
Atualizar as configurações do repositório
É possível ativar a DLP para seus repositórios na interface do Secure Source Manager:
- Navegue até o repositório em que você quer ativar a DLP.
- Clique no ícone Settings.
- Localize o botão de alternância Prevenção contra perda de dados.
- Deslize o botão para a posição Ativado.
Como trabalhar com o DLP no Secure Source Manager
Depois que a DLP é ativada, ela monitora ativamente os commits no seu repositório. Se alguma informação sensível for identificada em um commit, o sistema vai impedir que ele seja mesclado, e os usuários vão receber uma mensagem de erro na interface de linha de comando indicando a presença de dados sensíveis. Nesse ponto, os usuários têm duas opções:
Reverter a mudança
Para remover as informações sensíveis, reverta o commit problemático usando o seguinte comando:
git reset --soft sha1-commit-id
Substitua sha1-commit-id pelo ID do commit real.
Como o Git retém o histórico de todos os commits, o material sensível ainda pode ser recuperado de commits anteriores. Para evitar isso, use o comando git reset --soft. Em seguida, corrija os arquivos e faça o commit novamente para remover os dados do
histórico recente da ramificação.
Forçar o envio da confirmação (ignorar a DLP)
Em situações específicas em que as informações detectadas são consideradas aceitáveis, os usuários com as permissões adequadas podem ignorar a verificação da DLP e fazer push forçado do commit:
git push -o dlpskip=true origin branch-name
Substitua branch-name pelo nome da ramificação que você está mesclando.