Sdílet prostřednictvím

Nastavení kontroly tajných kódů

Vystavené přihlašovací údaje v technických systémech poskytují snadno zneužitelné příležitosti pro útočníky. Kvůli ochraně před touto hrozbou GitHub Advanced Security pro Azure DevOps vyhledá přihlašovací údaje a další citlivý obsah ve zdrojovém kódu. Ochrana nabízených oznámení také zabraňuje úniku přihlašovacích údajů na prvním místě. Potřebujete buď Pokročilé zabezpečení GitHubu pro Azure DevOps, nebo pokud používáte samostatné prostředí, je povolená služba GitHub Secret Protection pro Azure DevOps.

Skenování tajných informací ve vašem úložišti vyhledává všechny tajné informace, které už mohou existovat ve zdrojovém kódu v historii. Ochrana před odesláním brání zpřístupnění nových tajných informací ve zdrojovém kódu.

Pokročilé zabezpečení GitHubu pro Azure DevOps funguje s Azure Repos. Pokud chcete používat GitHub Advanced Security s úložišti GitHub, přečtěte si téma GitHub Advanced Security .

Požadavky

Kategorie Požadavky
Oprávnění – Zobrazení souhrnu všech výstrah pro úložiště: Přispěvatel oprávnění k úložišti.
– Chcete-li zavřít výstrahy v rozšířeném zabezpečení: oprávnění pro správce projektu.
- Správa oprávnění v rozšířeném zabezpečení: Člen skupiny správců kolekce projektů nebo Rozšířené zabezpečení: správa nastavení oprávnění nastavena na Povolit.

Další informace o pokročilých oprávněních zabezpečení naleznete v tématu Správa oprávnění Advanced Security.

Výstrahy kontroly tajných kódů

Když povolíte Pokročilou ochranu nebo Ochranu tajemství konkrétně, prohledává úložiště pro tajemství vydaná různými poskytovateli služeb a generuje upozornění na kontrolu tajemství.

Pokud přístup k prostředku vyžaduje spárované přihlašovací údaje, vytvoří kontrola tajných kódů výstrahu pouze v případě, že jsou obě části dvojice zjištěny ve stejném souboru. Párování zajišťuje, že nejdůležitější úniky nejsou skryté za informacemi o částečném úniku. Párování také pomáhá snížit falešně pozitivní výsledky, protože oba prvky páru musí být použity společně pro přístup k prostředku poskytovatele.

Karta Pokročilé zabezpečení v > Azure DevOps je centrum pro zobrazení výstrah zabezpečení. Výběrem karty Tajné kódy zobrazíte výstrahy kontroly tajných kódů. Můžete filtrovat podle stavu a typu tajného kódu. Přejděte k upozornění, kde najdete další podrobnosti, včetně pokynů k nápravě. Po povolení rozšířeného zabezpečení se pro vybrané úložiště spustí kontrola, včetně všech historických potvrzení. V průběhu času se upozornění začnou zobrazovat při procházení.

Přejmenování větví nemá vliv na výsledky. Zobrazení nového názvu ale může trvat až 24 hodin.

Snímek obrazovky zobrazující výstrahy aktivního skenování tajných informací.

Pokud chcete napravit vystavené tajné kódy, zneplatníte vystavené přihlašovací údaje a vytvořte nový na svém místě. Nově vytvořený tajný kód by se pak měl bezpečně uložit způsobem, který ho přímo nenasdílí zpět do kódu. Tajný klíč může být například uložený ve službě Azure Key Vault. Většina prostředků má primární i sekundární přihlašovací údaje. Metoda vrácení primárních přihlašovacích údajů oproti sekundárním přihlašovacím údajům je shodná, pokud není uvedeno jinak.

Správa upozornění kontroly tajných kódů

Zobrazení upozornění pro úložiště

Výběrem karty Tajemství zobrazíte všechna upozornění ke skenování tajných údajů.

Pokud bylo pro vaše úložiště nedávno povolené rozšířené zabezpečení, může se zobrazit karta, která indikuje, že rozšířené zabezpečení stále kontroluje vaše úložiště.

Snímek obrazovky znázorňující vyhledávání tajných kódů

Po dokončení kontroly se zobrazí všechny výsledky. Pro každé zjištěné jedinečné přihlašovací údaje se vygeneruje jedna výstraha ve všech větvích a historii úložiště. Při jejich zahrnutí do jedné výstrahy nejsou žádné filtry větví.

Tajemství, která nejsou od poskytovatelů, lze zobrazit tak, že v rozevírací nabídce spolehlivosti na kartě kontrola tajemství vyberete "Jiné".

Snímek obrazovky s filtrem spolehlivosti kontroly tajných kódů Advanced Security na GitHubu

Podrobnosti výstrahy

Když přejdete do výstrahy, zobrazí se podrobné zobrazení výstrahy a zobrazí se další podrobnosti o hledání a poskytnutí konkrétních pokynů k nápravě, které výstrahu vyřeší.

Snímek obrazovky zobrazující podrobnosti pro upozornění kontroly tajných kódů

Sekce Vysvětlení
Umístění Část Umístění podrobně popisuje cesty, kde kontrola tajných kódů zjistila uniklé přihlašovací údaje. V historii může existovat více umístění nebo více commitů, které obsahují uniklé přihlašovací údaje. Všechna tato umístění a potvrzení se zobrazí v umístěních s přímým odkazem na fragment kódu a potvrzením, ve kterém byl identifikován.
Doporučení Část doporučení obsahuje pokyny k nápravě nebo odkaz na pokyny k nápravě identifikovaných přihlašovacích údajů v dokumentaci jiné společnosti než Microsoft.
Zavřít upozornění U upozornění na kontrolu tajných kódů neexistuje žádné chování automatického oprava. Všechna upozornění na kontrolu tajných kódů musí být ručně potvrzena, jak je opraveno prostřednictvím stránky podrobností výstrahy. Výběrem tlačítka Zavřít ověřte, že je tajný kód odvolán.
Závažnost Všechny výstrahy kontroly tajných kódů jsou nastavené jako kritické. Jakékoli vystavené přihlašovací údaje mohou být příležitostí pro aktéra se zlými úmysly.
Vyhledání podrobností Typ přihlašovacích údajů a pravidla použitého k vyhledání přihlašovacích údajů jsou uvedené v části Hledání podrobností na bočním panelu stránky s podrobnostmi výstrahy.

U tajemství, která nejsou poskytovatele, se v zobrazení podrobností výstrahy také objeví značka Confidence: other vedle odznaku závažnosti.

Snímek obrazovky s podrobnými informacemi o obecných upozorněních kontroly tajných kódů Advanced Security GitHubu

Oprava výstrah kontroly tajných kódů

Každý tajný kód má jedinečné kroky nápravy, které vás provedou postupem odvolání a opětovného vygenerování nového tajného kódu na místě. Podrobnosti výstrahy sdílejí konkrétní kroky nebo dokumentaci pro každou výstrahu.

Výstraha kontroly tajných kódů zůstane otevřená, dokud se nesvře. Ověření, že je opravena výstraha kontroly tajných kódů:

  1. Přejděte na výstrahu, kterou chcete zavřít, a vyberte výstrahu.
  2. Vyberte rozevírací seznam Zavřít upozornění.
  3. Pokud ještě není vybraná, vyberte Opravit.
  4. Výběrem možnosti Zavřít odešlete a zavřete výstrahu.

Snímek obrazovky znázorňující, jak zavřít výstrahu kontroly tajných kódů

Zavření upozornění kontroly tajných kódů

Pokud chcete výstrahu zavřít, proveďte následující kroky:

  1. Přejděte na výstrahu, kterou chcete zavřít, a vyberte ji.
  2. Vyberte rozevírací seznam Zavřít upozornění.
  3. Pokud ještě není vybraná, vyberte jako důvod uzavření buď Riziko, nebo Falešně pozitivní .
  4. Do textového pole Komentář přidejte volitelný komentář.
  5. Výběrem možnosti Zavřít odešlete a zavřete výstrahu.
  6. Stav výstrahy se změní z otevření na uzavřeno a zobrazí váš důvod zamítnutí.

Snímek obrazovky zobrazující podrobnosti o zavření upozornění na kontrolu tajných kódů

Všechny dříve zamítnuté výstrahy můžete otevřít ručně.

Zabezpečení ohrožených tajných kódů

Jakmile se tajemství uloží do úložiště, je kompromitováno. Microsoft doporučuje pro ohrožené tajné kódy následující akce:

Důležité

Doporučujeme bezpečnější tokeny Microsoft Entra nad přístupové tokeny s vyšším rizikem. Přečtěte si další informace o našem úsilí o snížení využití PAT. Projděte si naše doprovodné materiály k ověřování a vyberte si správný mechanismus ověřování pro vaše potřeby.

  • V případě ohrožení osobního přístupového tokenu Azure DevOps odstraňte ohrožený token, vytvořte nový token a aktualizujte všechny služby, které používají starý token.
  • U všech ostatních tajných kódů nejprve ověřte, že je tajný kód potvrzený do Azure Repos platný. Pokud ano, vytvořte nový tajný kód, aktualizujte všechny služby, které používají starý tajný klíč, a odstraňte starý tajný kód.
  • Identifikujte všechny akce prováděné ohroženým tokenem u prostředků vaší organizace.

Při aktualizaci tajného kódu uložte nový tajný kód bezpečně a ujistěte se, že se nikdy neuloží jako prostý text. Jednou z možností je použití služby Azure Key Vault nebo jiných řešení pro správu tajných kódů.

Ochrana před tajnými oznámeními

Ochrana nabízených oznámení kontroluje, jestli příchozí nabízená oznámení neobsahují tajné kódy s vysokou spolehlivostí, a brání průchodu nabízených oznámení. Chybová zpráva zobrazí všechny identifikované tajné kódy, které můžete odebrat, nebo v případě potřeby dál odesílat tajné kódy.

Informace o upozorněních ochrany nabízených oznámení

Upozornění na nabízenou ochranu jsou upozornění uživatelů, která hlásí nabízenou ochranu. Kontrola tajných kódů jako nabízená ochrana v současné době prohledává úložiště tajných kódů vydaných některými poskytovateli služeb.

Pokud přístup k prostředku vyžaduje spárované přihlašovací údaje, může kontrola tajných kódů vytvořit výstrahu pouze v případě, že jsou obě části dvojice zjištěny ve stejném souboru. Párování zajišťuje, že nejdůležitější úniky nejsou skryté za informacemi o částečném úniku. Párování také pomáhá snížit falešně pozitivní výsledky, protože oba prvky páru musí být použity společně pro přístup k prostředku poskytovatele.

Ochrana push notifikací nemusí blokovat starší verze některých tokenů, jelikož tyto tokeny mohou generovat vyšší počet falešně pozitivních než jejich nejnovější verze. Ochrana před nabízenými oznámeními také nemusí blokovat starší tokeny. U tokenů, jako jsou klíče azure Storage, advanced Security podporuje pouze nedávno vytvořené tokeny, nikoli tokeny, které odpovídají starším vzorům.

Nabízená ochrana z příkazového řádku

Ochrana nabízených oznámení je nativně integrovaná do Gitu Azure DevOps. Pokud potvrzení obsahují identifikovaný tajný klíč, zobrazí se následující chyba, že vaše nabízená oznámení byla odmítnuta.

Snímek obrazovky znázorňující blokování změn gitu z VS Code

Nabízená ochrana z webového rozhraní

Ochrana push funguje také z webového rozhraní. Pokud je tajemství identifikováno v commitu, zobrazí se následující blok chyby, který vám zabrání v odeslání vašich změn.

Snímek obrazovky znázorňující blokování změn Gitu z webového uživatelského rozhraní AzDO

Co dělat, když se vaše nabízená oznámení zablokovala

Nabízená ochrana blokuje tajné kódy nalezené v souborech prostého textu, které jsou obvykle (ale ne omezené na) textové soubory, jako je zdrojový kód nebo konfigurační soubory JSON. Tyto tajné kódy jsou uložené ve formátu prostého textu. Pokud špatný objekt actor získá přístup k souborům a publikuje se do veřejného úložiště, můžou tajné kódy používat kdokoli.

Odeberte tajný kód ze souboru s příznakem a pak tajný kód odeberte z historie potvrzení. Pokud je označený tajný kód zástupný nebo ukázkový tajný kód, aktualizujte falešný tajný kód tak, že před něj přidáte řetězec Placeholder.

Pokud byl tajný kód přidán do vašeho okamžitého předchozího potvrzení, změny potvrzení a vytvoření nového potvrzení:

  1. Odeberte tajný kód z kódu.
  2. Potvrzení změn pomocí git commit --amend
  3. Znovu proveďte změny.

Pokud byl tajný kód přidán později v historii, upravte potvrzení pomocí interaktivního přenesení změn:

  1. Použijte git log k určení toho, které potvrzení jste nejprve vyčlenili tajnému kódu.
  2. Provedení interaktivního rebase: git rebase -i [commit ID before credential introduction]~1
  3. Určete potvrzení, které chcete upravit, změnou pickedit na první řádek textu, který se zobrazí v editoru.
  4. Odeberte tajný kód z kódu.
  5. Potvrďte změnu pomocí git commit --amend.
  6. Dokončení opětovného základu spuštěním git rebase --continuepříkazu .

Nasdílení blokovaného tajného kódu

Neignorujte označená tajemství, protože to může ohrozit zabezpečení vaší společnosti. Pokud potvrdíte, že identifikovaný tajný klíč není falešně pozitivní, odeberte tajný kód z celé historie větví, než se pokusíte změny znovu odeslat.

Pokud se domníváte, že blokovaný tajný kód je falešně pozitivní nebo bezpečný pro nasdílení změn, můžete obejít ochranu nabízených oznámení. Do zprávy potvrzení zahrňte řetězec skip-secret-scanning:true . I když vynecháte ochranu nabízených oznámení, v uživatelském prostředí upozornění se vygeneruje upozornění na kontrolu tajných kódů, jakmile se tajný kód odešle.

O kontrolách platnosti

Kontroly platnosti tajných kódů pomáhají určit prioritu výstrah tím, že udávají, jestli je zjištěný tajný kód stále použitelný. U podporovaných typů tajných kódů GitHub Advanced Security pro Azure DevOps automaticky osloví vydávajícího poskytovatele, aby zjistil, zda jsou přihlašovací údaje aktivní, a po povolení kontroly tajných kódů není vyžadován žádný samostatný přepínač funkce.

Snímek obrazovky se seznamem ověření tajných kódů rozšířeného zabezpečení

Když máte gitHub Advanced Security pro sadu Azure DevOps nebo ochranu tajných kódů, automaticky povolíte kontroly platnosti.

Co získáte

  • Automatické ověření podporovaných typů tajných kódů partnera (bez dodatečného nastavení)
  • Stav zobrazený v seznamu výstrah skenování skrytých kódů a v podokně podrobností.
  • Filtrování podle stavu ověření, abyste se mohli zaměřit na aktivní tajné kódy.
  • Volitelně můžete v zobrazení upozornění provést kontrolu platnosti tajného kódu na vyžádání.

Významy stavu

Stav Meaning Činnost
Active Poskytovatel potvrdil, že tajný kód je stále použitelný. Otevřete výstrahu a postupujte podle pokynů k doporučením a nápravě.
Neznámý Žádný konečný signál činnosti; může být neaktivní nebo ověření selhalo kvůli službě, síti nebo jiným neočekávaným chybám. Považovat za pravděpodobně aktivní; zkuste ověření zopakovat nebo otočit, pokud je citlivá.

Typický pracovní postup

  1. Stav ověření filtru = Active pro zobrazení výstrah s nejvyšším rizikem
  2. Pro každé aktivní tajemství otevřete výstrahu a postupujte podle doporučení a nápravných opatření zobrazených ve výstraze.
  3. Po nápravě použijte ověření na vyžádání a potvrďte změny stavu.
  4. Řešte neznámá tajemství – zkuste ověření na vyžádání nebo s nimi zacházejte jako s aktivními, pokud jsou data citlivá.
  5. Po dokončení kroků nápravy v upozornění zavřete upozornění podle vaší zásady.

Ověření na vyžádání

Po provedení doporučení a nápravy nebo pokud předchozí pokus vrátil hodnotu Neznámé, použijte "ověření tajemství" (v podrobnostech výstrahy). Časové razítko se po dokončení aktualizuje.

  • Last updated on