مشاركة عبر

حماية أسرار مستودع التعليمات البرمجية

  • مقالة

يقوم Defender for Cloud بإعلام المؤسسات عن الأسرار المكشوفة في مستودعات التعليمات البرمجية من GitHub وAzure DevOps. يساعدك الكشف عن البيانات السرية على اكتشاف الأسرار المكشوفة وتحديد أولوياتها ومعالجتها بسرعة مثل الرموز المميزة أو كلمات المرور أو المفاتيح أو بيانات الاعتماد المخزنة في أي ملف داخل مستودع التعليمات البرمجية.

إذا تم الكشف عن الأسرار، يمكن ل Defender for Cloud مساعدة فريق الأمان الخاص بك على تحديد أولويات واتخاذ خطوات معالجة قابلة للتنفيذ لتقليل مخاطر الحركة الجانبية عن طريق تحديد المورد الهدف الذي يمكن للبيانات السرية الوصول إليه.

كيف يعمل مسح البيانات السرية لمستودع التعليمات البرمجية؟

يعتمد مسح البيانات السرية لمستودعات التعليمات البرمجية على GitHub Advanced Security ل GitHub وAzure DevOps. يقوم GitHub Advanced Security بفحص محفوظات Git بأكملها على جميع الفروع الموجودة في مستودعك بحثا عن الأسرار، حتى إذا تم أرشفة المستودع.

لمعرفة المزيد، تفضل بزيارة وثائق GitHub Advanced Security ل GitHub وAzure DevOps.

ما هو المدعوم؟

يتوفر مسح البيانات السرية لمستودع التعليمات البرمجية بترخيص GitHub Advanced Security الضروري. يتم توفير عرض النتائج في Defender for Cloud كجزء من Foundational Cloud Security Posture Management. للكشف عن إمكانيات الحركة الجانبية لموارد وقت التشغيل، يلزم إدارة وضع الأمان السحابي ل Defender.

في هذا الوقت، تتوفر مسارات الهجوم للبيانات السرية المكشوفة فقط لمستودعات Azure DevOps.

كيف يخفف مسح مستودع التعليمات البرمجية من المخاطر؟

يساعد مسح البيانات السرية على تقليل المخاطر مع عوامل التخفيف التالية:

  • منع الحركة الجانبية: يشكل اكتشاف الأسرار المكشوفة داخل مستودعات التعليمات البرمجية خطرا كبيرا للوصول غير المصرح به حيث يمكن للجهات الفاعلة في التهديد الاستفادة من هذه البيانات السرية للمساس بالموارد الهامة.
  • التخلص من الأسرار غير المطلوبة: من خلال معرفة أن أسرارا محددة لا يمكنها الوصول إلى أي موارد في المستأجر الخاص بك، يمكنك العمل بأمان مع المطورين لإزالة هذه الأسرار. بالإضافة إلى ذلك، ستعرف متى تنتهي صلاحية الأسرار.
  • تعزيز أمان البيانات السرية: الحصول على توصيات لاستخدام أنظمة الإدارة السرية مثل Azure Key Vault.

كيف أعمل تحديد ومعالجة مشكلات الأسرار؟

هناك عدة طرق لتحديد الأسرار المكشوفة ومعالجتها. ومع ذلك، لا يتم دعم كل أسلوب مدرج أدناه لكل سر.

  • مراجعة توصيات الأسرار: عند العثور على الأسرار على الأصول، يتم تشغيل توصية لمستودع التعليمات البرمجية ذات الصلة في صفحة Defender for Cloud Recommendations.
  • مراجعة الأسرار باستخدام مستكشف أمان السحابة: استخدم مستكشف أمان السحابة للاستعلام عن الرسم البياني لأمان السحابة لمستودعات التعليمات البرمجية التي تحتوي على أسرار.
  • مراجعة مسارات الهجوم: يفحص تحليل مسار الهجوم الرسم البياني لأمان السحابة لكشف المسارات القابلة للاستغلال التي قد تستخدمها الهجمات لخرق بيئتك والوصول إلى الأصول عالية التأثير.

توصيات الأمان

تتوفر توصيات أمان الأسرار التالية:

سيناريوهات مسار الهجوم

تحليل مسار الهجوم هو خوارزمية قائمة على الرسم البياني تفحص الرسم البياني لأمان السحابة لكشف المسارات القابلة للاستغلال التي قد يستخدمها المهاجمون للوصول إلى الأصول عالية التأثير. تتضمن مسارات الهجوم المحتملة ما يلي:

  • يحتوي مستودع Azure DevOps على سر مكشوف مع حركة جانبية إلى قاعدة بيانات SQL.
  • يحتوي مستودع Azure DevOps الذي يمكن الوصول إليه بشكل عام على سر مكشوف مع حركة جانبية إلى حساب تخزين.

استعلامات مستكشف أمان السحابة

للتحقيق في الأسرار المكشوفة واحتمالات الحركة الجانبية، يمكنك استخدام الاستعلامات التالية:

كيف أعمل التخفيف من مشكلات الأسرار بفعالية؟

من المهم أن تكون قادرا على تحديد أولويات الأسرار وتحديد الأسرار التي تحتاج إلى اهتمام فوري. لمساعدتك على القيام بذلك، يوفر Defender for Cloud ما يلي:

  • بيانات تعريف غنية لكل سر، مثل مسار الملف ورقم السطر والعمود وتجزئة الالتزام وعنوان URL للملف وعنوان URL لتنبيه GitHub Advanced Security وإشارة إلى ما إذا كان المورد الهدف الذي توفر الأسرار الوصول إليه موجودا.
  • بيانات تعريف البيانات السرية جنبا إلى جنب مع سياق الأصول السحابية. يساعدك هذا على البدء بالأصول التي تتعرض للإنترنت أو تحتوي على أسرار قد تعرض الأصول الحساسة الأخرى للخطر. يتم دمج نتائج مسح البيانات السرية في ترتيب أولويات التوصيات المستندة إلى المخاطر.

المحتوى ذو الصلة

أسرار النشر السحابي التي تفحصأسرار الجهاز الظاهري التي تمسح نظرة عامة علىأمان DevOps