Como evitar a exposição de segredos em repositórios

ironlung · 2024-02-20T22:50:56+09:00

Plataformas de hospedagem Git como GitHub, GitLab, Azure DevOps e Bitbucket oferecem recursos para ajudar a evitar a exposição de segredos GitHub: Oferece recursos para restringir o envio de segredos para o repositório e para verificar segredos já presentes no repositório GitLab: Faz uma verificação preventiva do repositório Git para detectar possíveis segredos, como chaves de API, senhas e tokens, antes que sejam commitados por engano e expostos Quando ativado, o recurso de verificação de segredos do GitLab executa um job para analisar segredos no repositório Isso também pode ser configurado ativando o Auto DevOps ou editando o .gitlab-ci.yml Microsoft Azure: Oferece verificação de segredos em repositórios do Azure DevOps de acordo com a licença do GitHub Advanced Security para Azure DevOps Repositories Junto com recursos como dependency scanning e code scanning, também oferece verificação de segredos e proteção contra push Bitbucket: Verifica segredos no repositório e dispara notificações quando segredos expostos são detectados em novos commits As notificações por e-mail são enviadas a todos os envolvidos no histórico de commit do segredo, incluindo o autor, quem fez o commit e o desenvolvedor que fez push ou merge do código contendo o segredo para o repositório

(infracloud.io)

12 pontos por ironlung 2024-02-20 | 5 comentários | Compartilhar no WhatsApp

Plataformas de hospedagem Git como GitHub, GitLab, Azure DevOps e Bitbucket oferecem recursos para ajudar a evitar a exposição de segredos
GitHub:
- Oferece recursos para restringir o envio de segredos para o repositório e para verificar segredos já presentes no repositório
GitLab:
- Faz uma verificação preventiva do repositório Git para detectar possíveis segredos, como chaves de API, senhas e tokens, antes que sejam commitados por engano e expostos
- Quando ativado, o recurso de verificação de segredos do GitLab executa um job para analisar segredos no repositório
- Isso também pode ser configurado ativando o Auto DevOps ou editando o .gitlab-ci.yml
Microsoft Azure:
- Oferece verificação de segredos em repositórios do Azure DevOps de acordo com a licença do GitHub Advanced Security para Azure DevOps Repositories
- Junto com recursos como dependency scanning e code scanning, também oferece verificação de segredos e proteção contra push
Bitbucket:
- Verifica segredos no repositório e dispara notificações quando segredos expostos são detectados em novos commits
- As notificações por e-mail são enviadas a todos os envolvidos no histórico de commit do segredo, incluindo o autor, quem fez o commit e o desenvolvedor que fez push ou merge do código contendo o segredo para o repositório

5 comentários

cremit 2024-02-20

É muito bom ver que o GeekNews também está abordando o problema de vazamento de secrets.
Somos uma startup que está criando o serviço https://cremit.io.
Se a área de integrações das ferramentas mencionadas no texto estiver focada apenas em ferramentas de DevSecOps,
nós expandimos isso também para a área de ferramentas de colaboração e oferecemos um serviço que dá suporte à operação de segurança centrada em secrets / credentials. :)

ninebow 2024-02-21

Ot, depois você poderia apresentar isso no Show GN alguma vez? Tenho interesse +_+

cremit 2024-02-21

Estamos prestes a mudar para uma abertura Public!
Faremos questão de compartilhar com vocês. :)

ironlung 2024-02-27

Que serviço interessante! Por favor, apresentem ele!

cremit 2024-03-09

Olá! Fiz uma breve apresentação no Show GN!
https://pt.news.hada.io/topic?id=13725
Obrigado pelo interesse! hehe

Como evitar a exposição de segredos em repositórios

Leituras relacionadas

5 comentários