啟用資料遺失防護功能

本文說明如何透過 Secure Source Manager 中整合的資料遺失防護 (DLP) 功能,保護機密資訊。

Secure Source Manager 中的 DLP 會分析推送至存放區的每個提交內容,主動掃描應加密或移除的私密資訊,進而提升程式碼集的安全性。如果偵測到這類資料,DLP 會自動拒絕推送,避免機密詳細資料遭到誤合併。

Secure Source Manager 中的 DLP 會將下列類別的資訊視為私密/機密資訊:

  • 加密金鑰:包括 SSH 公開金鑰等項目。
  • AWS 憑證:Amazon Web Services 的存取金鑰和密鑰。
  • GCP 憑證:服務帳戶金鑰和其他 Google Cloud 密鑰。
  • OAuth 用戶端密鑰:用於透過 OAuth 驗證應用程式的密鑰。
  • 密鑰:用於驗證或授權的機密金鑰。

啟用資料遺失防護功能

請確認存放區已啟用下列角色和設定。

必要的角色

如要取得啟用資料外洩防護所需的權限,請要求管理員授予您 Secure Source Manager 執行個體的安全來源管理員存放區管理員 (roles/securesourcemanager.repoAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

如要瞭解如何授予 Secure Source Manager 角色,請參閱「使用 IAM 控管存取權」和「授予使用者執行個體存取權」。

更新存放區設定

您可以透過 Secure Source Manager 介面,為存放區啟用資料遺失防護功能:

  1. 前往要啟用 DLP 的存放區。
  2. 按一下「設定」圖示。
  3. 找到「資料遺失防護」切換開關。
  4. 將切換鈕滑動至「開啟」

在 Secure Source Manager 中使用 DLP

啟用資料遺失防護後,系統會主動監控對存放區的提交內容。如果系統在提交內容中偵測到任何機密資訊,就會禁止合併提交內容,並在命令列介面中向使用者顯示錯誤訊息,指出含有機密資料。此時,使用者有兩種選擇:

還原變更

如要移除私密資訊,可以使用下列指令還原有問題的提交:

 git reset --soft sha1-commit-id

sha1-commit-id 替換為實際的提交 ID。

由於 Git 會保留所有提交的記錄,因此仍可從先前的提交中復原機密資料。如要避免這種情況,請使用 git reset --soft 指令。然後修正檔案並再次提交,從分支的近期記錄中移除資料。

強制推送提交 (略過資料遺失防護)

在特定情況下,如果系統判定偵測到的資訊可接受,具備適當權限的使用者可以選擇略過 DLP 檢查,並強制推送提交:

 git push -o dlpskip=true origin branch-name

branch-name 替換為要合併的分支名稱。

後續步驟