Comment éviter l’exposition de secrets dans les dépôts

ironlung · 2024-02-20T22:50:56+09:00

Fonctionnalités prises en charge par des plateformes d’hébergement Git comme GitHub, GitLab, Azure DevOps et Bitbucket pour empêcher l’exposition de secrets GitHub : fournit des fonctionnalités pour limiter l’envoi de secrets dans le dépôt et analyser les secrets présents dans le dépôt GitLab : analyse le dépôt Git en amont afin de détecter les secrets potentiels comme les clés API, mots de passe et tokens avant qu’ils ne soient commités par erreur et exposés lorsque la fonctionnalité d’analyse des secrets de GitLab est activée, elle exécute un job qui analyse les secrets dans le dépôt cela peut aussi être configuré en activant Auto DevOps ou en modifiant .gitlab-ci.yml Microsoft Azure : prend en charge l’analyse des secrets dans les dépôts Azure DevOps selon la licence GitHub Advanced Security des dépôts Azure DevOps avec des fonctionnalités comme le dependency scanning et le code scanning, cela fournit aussi l’analyse des secrets et la protection contre les push Bitbucket : analyse les secrets dans le dépôt et déclenche des alertes lorsque des secrets exposés sont détectés dans de nouveaux commits les notifications par e-mail sont envoyées à toutes les personnes figurant dans l’historique du commit du secret, notamment l’auteur, la personne ayant effectué le commit et les développeurs ayant poussé ou fusionné dans le dépôt du code contenant le secret

(infracloud.io)

12 points par ironlung 2024-02-20 | 5 commentaires | Partager sur WhatsApp

Fonctionnalités prises en charge par des plateformes d’hébergement Git comme GitHub, GitLab, Azure DevOps et Bitbucket pour empêcher l’exposition de secrets
GitHub :
- fournit des fonctionnalités pour limiter l’envoi de secrets dans le dépôt et analyser les secrets présents dans le dépôt
GitLab :
- analyse le dépôt Git en amont afin de détecter les secrets potentiels comme les clés API, mots de passe et tokens avant qu’ils ne soient commités par erreur et exposés
- lorsque la fonctionnalité d’analyse des secrets de GitLab est activée, elle exécute un job qui analyse les secrets dans le dépôt
- cela peut aussi être configuré en activant Auto DevOps ou en modifiant .gitlab-ci.yml
Microsoft Azure :
- prend en charge l’analyse des secrets dans les dépôts Azure DevOps selon la licence GitHub Advanced Security des dépôts Azure DevOps
- avec des fonctionnalités comme le dependency scanning et le code scanning, cela fournit aussi l’analyse des secrets et la protection contre les push
Bitbucket :
- analyse les secrets dans le dépôt et déclenche des alertes lorsque des secrets exposés sont détectés dans de nouveaux commits
- les notifications par e-mail sont envoyées à toutes les personnes figurant dans l’historique du commit du secret, notamment l’auteur, la personne ayant effectué le commit et les développeurs ayant poussé ou fusionné dans le dépôt du code contenant le secret

5 commentaires

cremit 2024-02-20

Je suis ravi de voir que le problème des fuites de secrets est aussi abordé sur GeekNews.
Nous sommes une startup qui développe le service https://cremit.io.
Si la section Integrations des outils mentionnés dans l’article est centrée uniquement sur les outils de DevSecOps,
notre service étend cela jusqu’aux outils de collaboration afin de prendre en charge les opérations de sécurité axées sur les secrets / identifiants. :)

ninebow 2024-02-21

Oh, pourriez-vous nous le présenter plus tard une fois dans Show GN ? Ça m’intéresse +_+

cremit 2024-02-21

Nous prévoyons bientôt de passer en ouverture publique !
Nous veillerons à le partager avec vous. :)

ironlung 2024-02-27

Service intéressant ! Présentez-le absolument, s’il vous plaît !

cremit 2024-03-09

Bonjour ! J’ai fait une brève présentation dans Show GN !
https://fr.news.hada.io/topic?id=13725
Merci pour votre intérêt ! haha

Comment éviter l’exposition de secrets dans les dépôts

À lire aussi

5 commentaires