启用数据泄露防护

本文档介绍了如何在 Secure Source Manager 中使用集成的数据泄露防护 (DLP) 功能来保护敏感信息。

Secure Source Manager 中的 DLP 功能可分析推送到代码库的每个提交,主动扫描应加密或移除的敏感信息,从而增强代码库的安全性。如果检测到此类数据,DLP 会自动拒绝推送,防止敏感详细信息被意外合并。

Secure Source Manager 中的 DLP 会将以下类别的信息视为敏感信息:

  • 加密密钥:包括 SSH 公钥等项。
  • AWS 凭据:Amazon Web Services 的访问密钥和私有密钥。
  • GCP 凭据:服务账号密钥和其他 Google Cloud 密钥。
  • OAuth 客户端密钥:用于通过 OAuth 进行应用身份验证的密钥。
  • 密钥:用于身份验证或授权的敏感密钥。

启用数据泄露防护

确保为您的代码库启用以下角色和设置。

所需的角色

如需获得启用数据泄露防护功能所需的权限,请让您的管理员为您授予 Secure Source Manager 实例的 Secure Source Manager Repository Admin (roles/securesourcemanager.repoAdmin) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

如需了解如何授予 Secure Source Manager 角色,请参阅使用 IAM 进行访问权限控制向用户授予实例访问权限

更新代码库设置

您可以通过 Secure Source Manager 界面为代码库启用 DLP:

  1. 前往要启用 DLP 的代码库。
  2. 点击设置图标。
  3. 找到数据泄露防护切换开关。
  4. 将切换开关滑动到开启位置。

在 Secure Source Manager 中使用 DLP

启用 DLP 后,系统会主动监控对代码库的提交。如果系统在提交中发现任何敏感信息,则会阻止合并该提交,并在用户的命令行界面中显示一条错误消息,指明存在敏感数据。此时,用户有以下两种选择:

还原更改

如需移除敏感信息,您可以使用以下命令还原有问题的提交:

 git reset --soft sha1-commit-id

sha1-commit-id 替换为实际的提交 ID。

由于 Git 会保留所有提交的历史记录,因此仍可从之前的提交中恢复敏感材料。为避免这种情况,请使用 git reset --soft 命令。然后,更正文件并再次提交,以从分支的近期历史记录中移除数据。

强制推送提交内容(绕过 DLP)

在检测到的信息被视为可接受的特定情况下,具有相应权限的用户可以选择绕过 DLP 检查并强制推送提交:

 git push -o dlpskip=true origin branch-name

branch-name 替换为您要合并的分支的名称。

后续步骤