리포지터리에서 시크릿 노출을 막는 방법
(infracloud.io)- GitHub, GitLab, Azure DevOps, Bitbucket과 같은 Git 호스팅 플랫폼에서 시크릿 노출을 막도록 지원하는 기능
- GitHub:
- 리포지터리에 시크릿을 푸시하는 걸 제한하고, 리포지터리에 있는 시크릿을 검사하는 기능을 제공
- GitLab:
- Git 리포지터리를 사전에 검사해 API 키, 비밀번호, 토큰 등 잠재 시크릿이 잘못 커밋되고 노출되기 전에 탐지
- GitLab의 시크릿 검사 기능은 활성화되면 리포지터리에서 시크릿을 검사하는 job을 실행
- 이는 Auto DevOps를 활성화하거나 .gitlab-ci.yml을 편집함으로써 구성할 수도 있음
- 마이크로소프트 Azure:
- Azure DevOps 리포지터리의 GitHub Advanced Security 라이선스에 따라 Azure DevOps 리포지터리에서 시크릿 검사 기능을 지원
- 이는 의존성 스캐닝, 코드 스캐닝과 같은 기능과 함께 시크릿 검사 기능과 푸시 보호 기능을 제공
- Bitbucket:
- 리포지터리에서 시크릿을 검사하고 새로운 커밋 안에서 노출된 시크릿이 탐지될 때 알림을 트리거
- 이메일 알림은 작성자, 커밋한 사람, 시크릿을 포함한 코드를 리포지터리에 푸시하거나 merge 한 개발자 등 시크릿의 커밋 기록에 포함된 모두에게 전송됨
Secret 유출문제를 GeekNews에서도 볼 수 있다니 참 반갑습니다.
https://cremit.io 서비스를 만들고있는 스타트업인데요.
글 본문에 나와있는 도구들의 Integrations 영역이 DevSecOps 도구에만 치중되어 있다면,
저희는 협업툴영역까지 확대하여 Secret / Credential 중심의 Security 운영을 지원하는 서비스입니다. :)