Biztonsági javaslatok DevOps-erőforrásokhoz

Ez a cikk felsorolja azokat a javaslatokat, amelyeket az Felhőhöz készült Microsoft Defender láthat, ha Azure DevOps-, GitHub- vagy GitLab-környezetet csatlakoztat a Környezet beállításai lap használatával. A környezetben megjelenő javaslatok a védeni kívánt erőforrásokon és a testre szabott konfiguráción alapulnak.

A javaslatokra válaszul végrehajtható műveletekről a Felhőhöz készült Defender vonatkozó javaslatok szervizelése című témakörben olvashat.

További információ a DevOps biztonsági előnyeiről és funkcióiról.

A DevOps-javaslatok nem befolyásolják a biztonságos pontszámot. Annak eldöntéséhez, hogy melyik javaslatokat kell először megoldani, tekintse meg az egyes javaslatok súlyosságát és a biztonságos pontszámra gyakorolt lehetséges hatását.

Azure DevOps-javaslatok

Az Azure DevOps-adattárakban engedélyezni kell a GitHub Advanced Security for Azure DevOps (GHAzDO) használatát

Leírás: A Felhőhöz készült Defender devOps-biztonsága egy központi konzol használatával teszi lehetővé a biztonsági csapatok számára, hogy az Azure DevOpsban a kódtól a felhőig védjék az alkalmazásokat és erőforrásokat. Az Azure DevOpshoz készült GitHub Advanced Security (GHAzDO) adattárak, köztük az Azure DevOps GitHub Advanced Security szolgáltatásának engedélyezésével megállapításokat kaphat a titkos kódokról, függőségekről és kód sebezhetőségekről az Azure DevOps-adattárakban Felhőhöz készült Microsoft Defender.

Súlyosság: Magas

Az Azure DevOps-adattárakban meg kell oldani a titkos kulcsok vizsgálatának eredményeit

Leírás: Titkos kódokat találtak a kódtárakban. Azonnal elháríthatja a biztonsági incidenseket. Az adattárakban talált titkos kódok kiszivároghatnak, vagy a támadók felfedezhetik azokat, ami egy alkalmazás vagy szolgáltatás sérüléséhez vezethet. A Microsoft Security DevOps hitelesítőadat-ellenőrző eszköz csak olyan teszteket végez, amelyekre konfigurálva van a futtatásra. Ezért előfordulhat, hogy az eredmények nem tükrözik az adattárak titkos kulcsainak teljes állapotát.

Súlyosság: Magas

Az Azure DevOps-adattárakban fel kell oldani a kódkeresési eredményeket

Leírás: A kódtárakban biztonsági rések találhatók. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.

Súlyosság: Közepes

Az Azure DevOps-adattárakban meg kell oldani a függőségi biztonsági rések vizsgálatának eredményeit

Leírás: A kódtárakban található függőségi biztonsági rések. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.

Súlyosság: Közepes

Az Azure DevOps-adattáraknak infrastruktúrával kell rendelkezniük a kódkeresési eredmények megoldásakor

Leírás: Az infrastruktúra mint kód biztonsági konfigurációs problémái az adattárakban találhatók. A problémák a sablonfájlokban voltak észlelhetők. A kapcsolódó felhőerőforrások biztonsági helyzetének javítása érdekében erősen ajánlott elhárítani ezeket a problémákat.

Súlyosság: Közepes

Az Azure DevOps-folyamatoknak nem szabad titkos kulcsokkal rendelkezniük az elágazások létrehozásához

Leírás: Nyilvános adattárakban előfordulhat, hogy a szervezeten kívüli személyek elágazásokat hoznak létre, és buildeket futtatnak az elágazott adattáron. Ilyen esetben, ha ez a beállítás engedélyezve van, a kívülállók hozzáférhetnek a belsőnek szánt folyamattitkokhoz.

Súlyosság: Magas

Az Azure DevOps szolgáltatáskapcsolatainak nem szabad hozzáférést biztosítaniuk az összes folyamathoz

Leírás: A szolgáltatáskapcsolatok az Azure Pipelines és a külső és távoli szolgáltatások közötti kapcsolatok létrehozására szolgálnak a feladatok végrehajtásához. A folyamatengedélyek szabályozzák, hogy mely folyamatok jogosultak a szolgáltatáskapcsolat használatára. A folyamatműveletek biztonsága érdekében a szolgáltatáskapcsolatoknak nem szabad hozzáférést biztosítani az összes YAML-folyamathoz. Ez segít fenntartani a minimális jogosultság elvét, mivel az egyik folyamat által használt összetevők biztonsági rését a támadók más, kritikus erőforrásokhoz hozzáféréssel rendelkező folyamatok megtámadására használhatják.

Súlyosság: Magas

Az Azure DevOps biztonságos fájljai nem adhatnak hozzáférést az összes folyamathoz

Leírás: A biztonságos fájlok lehetővé teszik a fejlesztők számára a folyamatok között megosztható fájlok tárolását. Ezeket a fájlokat általában titkos kódok, például aláíró tanúsítványok és SSH-kulcsok tárolására használják. Ha egy biztonságos fájl hozzáféréssel rendelkezik az összes YAML-folyamathoz, egy jogosulatlan felhasználó egy YAML-folyamat létrehozásával és a biztonságos fájl elérésével adatokat lophat el a biztonságos fájlokból.

Súlyosság: Magas

A titkos változókkal rendelkező Azure DevOps-változócsoportok nem adhatnak hozzáférést az összes folyamathoz

Leírás: A változócsoportok olyan értékeket és titkos kulcsokat tárolnak, amelyeket át szeretne adni egy YAML-folyamatnak, vagy több folyamaton keresztül elérhetővé kell tenni őket. Ugyanazon projektben több folyamat változócsoportjait is megoszthatja és használhatja. Ha egy titkos kulcsokat tartalmazó változócsoport minden YAML-folyamat számára elérhetőként van megjelölve, akkor a támadó egy új folyamat létrehozásával kihasználhatja a titkos változókat tartalmazó objektumokat.

Súlyosság: Magas

Az Azure DevOps klasszikus Azure-szolgáltatáskapcsolatai nem használhatók előfizetések eléréséhez

Leírás: Az Azure Resource Manager (ARM) típusú szolgáltatáskapcsolatok használata klasszikus Azure-szolgáltatáskapcsolatok helyett az Azure-előfizetésekhez való csatlakozáshoz. Az ARM-modell számos biztonsági fejlesztést kínál, többek között az erősebb hozzáférés-vezérlést, a továbbfejlesztett naplózást, az ARM-alapú üzembe helyezést/szabályozást, a felügyelt identitásokhoz és kulcstartókhoz való hozzáférést a titkos kódokhoz, az Entra engedélyalapú hitelesítést, valamint a címkék és erőforráscsoportok támogatását az egyszerűsített felügyelet érdekében.

Súlyosság: Közepes

(Előzetes verzió) Az Azure DevOps-adattárakban meg kell oldani az API biztonsági tesztelési eredményeit

Leírás: A kódtárakban található API biztonsági rések. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.

Súlyosság: Közepes

(Előzetes verzió) Az Azure DevOps-adattáraknak legalább két felülvizsgáló jóváhagyását kell megkövetelniük a kódleküldésekhez

Leírás: A nem szándékos vagy rosszindulatú módosítások közvetlen véglegesítésének megakadályozása érdekében fontos védelmi szabályzatokat implementálni az Azure DevOps-adattárak alapértelmezett ágához. Javasoljuk, hogy legalább két kódleírónak hagyja jóvá a lekéréses kérelmeket, mielőtt a kód összeolvad az alapértelmezett ággal. Ha legalább két felülvizsgáló jóváhagyását igényli, csökkentheti a jogosulatlan módosítások kockázatát, ami a rendszer instabilitásához vagy biztonsági résekhez vezethet.

Ez a javaslat Felhőhöz készült Defender alapszintű biztonsági állapotban érhető el, ha az Azure DevOps-t Felhőhöz készült Defender csatlakoztatta.

Súlyosság: Magas

(Előzetes verzió) Az Azure DevOps-adattárak nem engedélyezhetik a kérelmezők számára a saját lekéréses kérelmek jóváhagyását

Leírás: A nem szándékos vagy rosszindulatú módosítások közvetlen véglegesítésének megakadályozása érdekében fontos védelmi szabályzatokat implementálni az Azure DevOps-adattárak alapértelmezett ágához. Javasoljuk, hogy tiltsa meg, hogy a lekéréses kérelmek létrehozói jóváhagyják a saját beküldéseiket, hogy minden módosítást a szerzőtől eltérő személy objektív felülvizsgálaton vegyen át. Ezzel csökkentheti a jogosulatlan módosítások kockázatát, ami a rendszer instabilitásához vagy biztonsági résekhez vezethet.

Ez a javaslat Felhőhöz készült Defender alapszintű biztonsági állapotban érhető el, ha az Azure DevOps-t Felhőhöz készült Defender csatlakoztatta.

Súlyosság: Magas

(Előzetes verzió) Az Azure DevOps-projektekben le kell tiltani a klasszikus folyamatok létrehozását

Leírás: A klasszikus buildelési és kiadási folyamatok létrehozásának letiltása megakadályozza a YAML-ből és az ugyanazon erőforrásokat használó klasszikus folyamatokból, például ugyanazon szolgáltatáskapcsolatokból eredő biztonsági problémát. A potenciális támadók a klasszikus folyamatokat kihasználva olyan folyamatokat hozhatnak létre, amelyek elkerülik a modern YAML-folyamatok köré beállított tipikus védelmi mechanizmusokat.

Súlyosság: Magas

GitHub-javaslatok

A GitHub-szervezetek nem tehetik elérhetővé a műveleti titkos kulcsokat minden adattár számára

Leírás: A GitHub Action-munkafolyamatokban használt, a GitHub szervezeti szintjén tárolt titkos kulcsok esetében hozzáférési szabályzatokkal szabályozhatja, hogy mely adattárak használhatnak szervezeti titkos kulcsokat. A szervezeti szintű titkos kódok lehetővé teszik a titkos kulcsok megosztását több adattár között. Ez csökkenti a duplikált titkos kódok létrehozásának szükségességét. Ha azonban egy titkos kód elérhetővé válik egy adattár számára, bárki, aki írási hozzáféréssel rendelkezik az adattárban, hozzáférhet a titkos kódhoz a munkafolyamat bármely ágából. A támadási felület csökkentése érdekében győződjön meg arról, hogy a titkos kód csak a kiválasztott tárházakból érhető el.

Ez a javaslat Felhőhöz készült Defender alapszintű biztonsági állapotban érhető el, ha az Azure DevOps-t Felhőhöz készült Defender csatlakoztatta.

Súlyosság: Magas

A GitHub-adattárakban engedélyezve kell lennie a titkos kódok vizsgálatának

Leírás: A GitHub az ismert titkos kulcstípusok tárházait vizsgálja, hogy megelőzze a véletlenül az adattárakban lekötött titkos kódok csalárd használatát. A titkos kódok vizsgálata a GitHub-adattárban található összes ág teljes Git-előzményeit ellenőrzi. A titkos kulcsok közé tartoznak például a jogkivonatok és a titkos kulcsok, amelyeket a szolgáltató a hitelesítéshez kibocsáthat. Ha egy titkos kód be van jelentkezve egy adattárba, bárki, aki olvasási hozzáféréssel rendelkezik az adattárhoz, a titkos kód használatával hozzáférhet a külső szolgáltatáshoz ezekkel a jogosultságokkal. A titkos kulcsokat a projekt adattárán kívül, dedikált, biztonságos helyen kell tárolni.

Súlyosság: Magas

A GitHub-adattárakban engedélyezve kell lennie a kódvizsgálatnak

Leírás: A GitHub kódvizsgálatot használ a kód elemzéséhez, hogy biztonsági réseket és hibákat találjon a kódban. A kódvizsgálat használható a kódban meglévő problémák javításainak megkeresésére, osztályozására és rangsorolására. A kódvizsgálat azt is megakadályozhatja, hogy a fejlesztők új problémákat vezessenek be. A vizsgálatok ütemezhetők adott napokra és időpontokra, vagy a vizsgálat akkor aktiválható, ha egy adott esemény történik az adattárban, például leküldés. Ha a kódvizsgálat potenciális biztonsági rést vagy hibát talál a kódban, a GitHub riasztást jelenít meg az adattárban. A biztonsági rés olyan probléma a projekt kódjában, amely a projekt titkosságának, integritásának vagy rendelkezésre állásának sérülésére használható.

Súlyosság: Közepes

A GitHub-adattárakban engedélyezve kell lennie a Dependabot-vizsgálatnak

Leírás: A GitHub Dependabot-riasztásokat küld, amikor az adattárakat érintő kódfüggőségek biztonsági réseit észleli. A biztonsági rés olyan probléma a projekt kódjában, amely kihasználható a projekt vagy a kódját használó egyéb projektek bizalmasságának, integritásának vagy rendelkezésre állásának sérülésére. A biztonsági rések típusa, súlyossága és támadási módja eltérő. Ha a kód egy biztonsági sebezhetőséggel rendelkező csomagtól függ, ez a sebezhető függőség számos problémát okozhat.

Súlyosság: Közepes

A GitHub-adattárakban fel kell oldani a titkos kulcsok vizsgálatának eredményeit

Leírás: Kódtárakban található titkos kódok. Ezt azonnal orvosolni kell a biztonsági incidensek megelőzése érdekében. Az adattárakban található titkos kulcsokat a támadók kiszivárogtathatják vagy felderíthetik, ami egy alkalmazás vagy szolgáltatás sérüléséhez vezet.

Súlyosság: Magas

A GitHub-adattárakban meg kell oldani a kódkeresési eredményeket

Leírás: A kódtárakban található biztonsági rések. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.

Súlyosság: Közepes

A GitHub-adattáraknak meg kell oldaniuk a függőségi biztonságirés-vizsgálat eredményeit

Leírás: A GitHub-adattáraknak meg kell oldaniuk a függőségi biztonságirés-vizsgálat eredményeit.

Súlyosság: Közepes

A GitHub-adattáraknak infrastruktúrával kell rendelkezniük a kódkeresési eredmények megoldásakor

Leírás: Az infrastruktúra mint kód biztonsági konfigurációs problémái az adattárakban találhatók. A problémák a sablonfájlokban voltak észlelhetők. A kapcsolódó felhőerőforrások biztonsági helyzetének javítása érdekében erősen ajánlott elhárítani ezeket a problémákat.

Súlyosság: Közepes

A GitHub-adattáraknak engedélyezve kell lennie az alapértelmezett ág védelmi szabályzatainak

Leírás: Az adattár alapértelmezett ágát elágaztatásvédelmi szabályzatokkal kell védeni, hogy megakadályozza a nem szándékos/rosszindulatú módosítások közvetlen véglegesítését az adattárban.

Súlyosság: Magas

A GitHub-adattáraknak le kell tiltani az alapértelmezett ágra történő leküldéseket

Leírás: Mivel az alapértelmezett ágat általában az üzembe helyezéshez és más kiemelt tevékenységekhez használják, a módosításokat körültekintően kell megközelíteni. Az kényszerítő leküldések engedélyezése nem szándékos vagy rosszindulatú módosításokat okozhat az alapértelmezett ágon.

Súlyosság: Közepes

A GitHub-szervezeteknek engedélyezniük kell a titkos kulcsok vizsgálatának leküldéses védelmét

Leírás: A Push Protection letiltja a titkos kulcsokat tartalmazó véglegesítéseket, így megakadályozza a titkos kódok véletlen felfedését. A hitelesítő adatok expozíciójának elkerülése érdekében a Leküldéses védelmet automatikusan engedélyezni kell minden titkos vizsgálatra engedélyezett adattárhoz.

Súlyosság: Magas

A GitHub-adattárak nem használhatnak saját üzemeltetésű futókat

Leírás: A GitHubon futó önkiszolgáló futók nem garantálják a rövid élettartamú tiszta virtuális gépeken való működést, és a munkafolyamat nem megbízható kódjai tartósan veszélyeztethetik őket. Ezért a saját üzemeltetésű futókat nem szabad műveleti munkafolyamatokhoz használni.

Súlyosság: Magas

A GitHub-szervezeteknek írásvédettre kell állítaniuk a műveletek munkafolyamat-engedélyeit

Leírás: Alapértelmezés szerint a műveleti munkafolyamatoknak írásvédett engedélyeket kell biztosítaniuk, hogy a rosszindulatú felhasználók ne használják ki a túlzottan engedélyezett munkafolyamatokat az erőforrások eléréséhez és illetéktelen illetéktelen használatához.

Súlyosság: Magas

A GitHub-szervezeteknek egynél több rendszergazdai engedéllyel kell rendelkezniük

Leírás: Ha legalább két rendszergazda rendelkezik, azzal csökkentheti a rendszergazdai hozzáférés elvesztésének kockázatát. Ez üvegtöréses fiókok esetén hasznos.

Súlyosság: Magas

A GitHub-szervezeteknek engedély nélküli vagy olvasási alapengedélyekkel kell rendelkezniük

Leírás: Az alapengedélyeket úgy kell beállítani, hogy ne legyenek beállítva vagy beolvasva a szervezet számára, hogy betartsák a minimális jogosultság elvét, és megakadályozzák a szükségtelen hozzáférést.

Súlyosság: Magas

(Előzetes verzió) A GitHub-adattáraknak meg kell oldaniuk az API biztonsági tesztelési eredményeit

Leírás: Az API biztonsági rései kódtárakban találhatók. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.

Súlyosság: Közepes

(Előzetes verzió) A GitHub-szervezetek nem tehetik elérhetővé a műveleti titkos kulcsokat minden adattár számára

Leírás: A GitHub Action-munkafolyamatokban használt, a GitHub szervezeti szintjén tárolt titkos kulcsok esetében hozzáférési szabályzatokkal szabályozhatja, hogy mely adattárak használhatják a szervezeti titkos kulcsokat. A szervezeti szintű titkos kulcsok lehetővé teszik a titkos kulcsok megosztását több adattár között, így nem kell duplikált titkos kulcsokat létrehozni. Ha azonban egy titkos kulcs elérhetővé válik egy adattár számára, az adattáron írási hozzáféréssel rendelkező bárki hozzáférhet a titkos kódhoz a munkafolyamat bármely ágából. A támadási felület csökkentése érdekében győződjön meg arról, hogy a titkos kód csak a kiválasztott tárházakból érhető el.

Súlyosság: Magas

(Előzetes verzió) A GitHub-szervezeteknek blokkolnia kell a nyilvános kódnak megfelelő Copilot-javaslatokat

Leírás: A GitHub Copilot szűrőjének engedélyezése a nyilvános kódnak megfelelő kódjavaslatok letiltásához a GitHubon javítja a biztonságot és a jogi megfelelőséget. Megakadályozza a nyilvános vagy nyílt forráskódú kód véletlen beépítését, csökkenti a jogi problémák kockázatát, és biztosítja a licencfeltételek betartását. Emellett segít elkerülni, hogy a nyilvános kód potenciális biztonsági rései bekerüljenek a szervezet projektjeibe, ezáltal magasabb kódminőséget és biztonságot biztosítva. Ha a szűrő engedélyezve van, a GitHub Copilot körülbelül 150 karakterből álló kóddal ellenőrzi a kódjavaslatokat a GitHub nyilvános kódján. Ha egyezés vagy közel egyezés van, a javaslat nem jelenik meg.

Súlyosság: Magas

(Előzetes verzió) A GitHub-szervezeteknek többtényezős hitelesítést kell kikényszeríteni a külső közreműködők számára

Leírás: A Többtényezős hitelesítés kényszerítése a GitHub-szervezet külső közreműködői számára olyan biztonsági intézkedés, amely megköveteli, hogy a közreműködők a jelszójukon kívül egy további azonosítási formát használjanak a szervezet adattáraihoz és erőforrásaihoz való hozzáféréshez. Ez növeli a biztonságot azáltal, hogy védelmet nyújt a jogosulatlan hozzáférés ellen, még akkor is, ha egy jelszó sérül, és segít biztosítani az iparági szabványoknak való megfelelést. Ez magában foglalja a közreműködők tájékoztatását a követelményről, és támogatást nyújt az átálláshoz, ami végső soron csökkenti az adatszivárgások kockázatát.

Súlyosság: Magas

(Előzetes verzió) A GitHub-adattáraknak a kódleküldésekhez legalább két felülvizsgáló jóváhagyást kell igényelniük

Leírás: A nem szándékos vagy rosszindulatú módosítások közvetlen véglegesítésének megakadályozása érdekében fontos védelmi szabályzatokat implementálni a GitHub-adattárak alapértelmezett ágához. Javasoljuk, hogy legalább két kódleírónak hagyja jóvá a lekéréses kérelmeket, mielőtt a kód összeolvad az alapértelmezett ággal. Ha legalább két felülvizsgáló jóváhagyását igényli, csökkentheti a jogosulatlan módosítások kockázatát, ami a rendszer instabilitásához vagy biztonsági résekhez vezethet.

Súlyosság: Magas

GitLab-javaslatok

A GitLab-projektekben fel kell oldani a titkos kulcsok vizsgálatának eredményeit

Leírás: Titkos kódokat találtak a kódtárakban. Ezt azonnal orvosolni kell a biztonsági incidensek megelőzése érdekében. Az adattárakban található titkos kulcsokat a támadók kiszivárogtathatják vagy felderíthetik, ami egy alkalmazás vagy szolgáltatás sérüléséhez vezet.

Súlyosság: Magas

A GitLab-projektekben fel kell oldani a kódkeresési eredményeket

Leírás: A kódtárakban biztonsági rések találhatók. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.

Súlyosság: Közepes

A GitLab-projekteknek feloldott függőségi biztonságirés-vizsgálatokkal kell rendelkezniük

Leírás: A GitHub-adattáraknak meg kell oldaniuk a függőségi biztonságirés-vizsgálat eredményeit.

Súlyosság: Közepes

A GitLab-projekteknek infrastruktúrával kell rendelkezniük a kódkeresési eredmények megoldásakor

Leírás: Az infrastruktúra mint kód biztonsági konfigurációs problémái az adattárakban találhatók. A megjelenő problémák a sablonfájlokban voltak észlelhetők. A kapcsolódó felhőerőforrások biztonsági helyzetének javítása érdekében erősen ajánlott elhárítani ezeket a problémákat.

Súlyosság: Közepes

Elavult DevOps biztonsági javaslatok

A kódtárakban fel kell oldani a kódkeresési eredményeket

Leírás: A DevOps Felhőhöz készült Defender biztonsági réseket talált a kódtárakban. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

A kódtárakban meg kell oldani a titkos kódok vizsgálatának eredményeit

Leírás: A DevOps biztonsági Felhőhöz készült Defender talált egy titkos kódot a kódtárakban. Ezt azonnal orvosolni kell a biztonsági incidensek megelőzése érdekében. Az adattárakban található titkos kulcsokat a támadók kiszivárogtathatják vagy felderíthetik, ami egy alkalmazás vagy szolgáltatás sérüléséhez vezet. Az Azure DevOps esetében a Microsoft Security DevOps CredScan eszköz csak azokat a buildeket vizsgálja, amelyekre konfigurálva lett a futtatásra. Ezért előfordulhat, hogy az eredmények nem tükrözik az adattárak titkos kulcsainak teljes állapotát. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A kódtárakban meg kell oldani a Dependabot vizsgálati eredményeit

Leírás: A DevOps Felhőhöz készült Defender biztonsági réseket talált a kódtárakban. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

A kódtáraknak infrastruktúrával kell rendelkezniük a kódkeresési eredmények feloldásakor

Leírás: Az Felhőhöz készült Defender devOps-biztonsága kódbiztonsági konfigurációs problémákként talált infrastruktúrát az adattárakban. A megjelenő problémák a sablonfájlokban voltak észlelhetők. A kapcsolódó felhőerőforrások biztonsági helyzetének javítása érdekében erősen ajánlott elhárítani ezeket a problémákat. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

A GitHub-adattárakban engedélyezve kell lennie a kódvizsgálatnak

Leírás: A GitHub kódvizsgálatot használ a kód elemzéséhez, hogy biztonsági réseket és hibákat találjon a kódban. A kódvizsgálat használható a kódban meglévő problémák javításainak megkeresésére, osztályozására és rangsorolására. A kódvizsgálat azt is megakadályozhatja, hogy a fejlesztők új problémákat vezessenek be. A vizsgálatok ütemezhetők adott napokra és időpontokra, vagy a vizsgálat akkor aktiválható, ha egy adott esemény történik az adattárban, például leküldés. Ha a kódvizsgálat potenciális biztonsági rést vagy hibát talál a kódban, a GitHub riasztást jelenít meg az adattárban. A biztonsági rés olyan probléma a projekt kódjában, amely a projekt titkosságának, integritásának vagy rendelkezésre állásának sérülésére használható. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

A GitHub-adattárakban engedélyezve kell lennie a titkos kódok vizsgálatának

Leírás: A GitHub az ismert titkos kulcstípusok tárházait vizsgálja, hogy megelőzze a véletlenül az adattárakban lekötött titkos kódok csalárd használatát. A titkos kódok vizsgálata a GitHub-adattárban található összes ág teljes Git-előzményeit ellenőrzi. A titkos kulcsok közé tartoznak például a jogkivonatok és a titkos kulcsok, amelyeket a szolgáltató a hitelesítéshez kibocsáthat. Ha egy titkos kód be van jelentkezve egy adattárba, bárki, aki olvasási hozzáféréssel rendelkezik az adattárhoz, a titkos kód használatával hozzáférhet a külső szolgáltatáshoz ezekkel a jogosultságokkal. A titkos kulcsokat a projekt adattárán kívül, dedikált, biztonságos helyen kell tárolni. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A GitHub-adattárakban engedélyezve kell lennie a Dependabot-vizsgálatnak

Leírás: A GitHub Dependabot-riasztásokat küld, amikor az adattárakat érintő kódfüggőségek biztonsági réseit észleli. A biztonsági rés olyan probléma a projekt kódjában, amely kihasználható a projekt vagy a kódját használó egyéb projektek bizalmasságának, integritásának vagy rendelkezésre állásának sérülésére. A biztonsági rések típusa, súlyossága és támadási módja eltérő. Ha a kód egy biztonsági sebezhetőséggel rendelkező csomagtól függ, ez a sebezhető függőség számos problémát okozhat. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

Kapcsolódó tartalom

• Tudnivalók a biztonsági javaslatokról
• Biztonsági javaslatok áttekintése