Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini mencantumkan rekomendasi yang mungkin Anda lihat di Microsoft Defender untuk Cloud jika Anda menyambungkan lingkungan Azure DevOps, GitHub, atau GitLab dengan menggunakan halaman Pengaturan lingkungan.
Rekomendasi yang muncul di lingkungan Anda didasarkan pada sumber daya yang Anda lindungi dan pada konfigurasi yang disesuaikan. Anda dapat melihat rekomendasi di portal yang berlaku untuk sumber daya Anda.
Untuk mempelajari tentang tindakan yang dapat Anda ambil sebagai respons terhadap rekomendasi ini, lihat Memulihkan rekomendasi di Defender untuk Cloud.
Pelajari selengkapnya tentang manfaat dan fitur keamanan DevOps.
Rekomendasi DevOps tidak memengaruhi skor aman Anda. Untuk memutuskan rekomendasi mana yang harus diselesaikan terlebih dahulu, lihat tingkat keparahan setiap rekomendasi dan dampak potensialnya pada skor aman Anda.
Rekomendasi Azure DevOps
Repositori Azure DevOps harus mengaktifkan GitHub Advanced Security for Azure DevOps (GHAzDO)
Deskripsi: Keamanan DevOps di Defender untuk Cloud menggunakan konsol pusat untuk memberdayakan tim keamanan dengan kemampuan untuk melindungi aplikasi dan sumber daya dari kode ke cloud di seluruh Azure DevOps. Dengan pengaktifan repositori GitHub Advanced Security for Azure DevOps (GHAzDO) termasuk GitHub Advanced Security untuk Azure DevOps, Anda mendapatkan temuan tentang rahasia, dependensi, dan kerentanan kode di repositori Azure DevOps Anda yang muncul di Microsoft Defender untuk Cloud.
Tingkat keparahan: Tinggi
Repositori Azure DevOps harus menyelesaikan temuan pemindaian rahasia
Deskripsi: Rahasia ditemukan di repositori kode. Remediasi segera untuk mencegah pelanggaran keamanan. Rahasia yang ditemukan di repositori dapat bocor, atau ditemukan oleh lawan, yang menyebabkan penyusupan aplikasi atau layanan. Alat pemindaian kredensial Microsoft Security DevOps hanya memindai build yang dikonfigurasi untuk dijalankan. Oleh karena itu, hasil mungkin tidak mencerminkan status lengkap rahasia di repositori Anda.
Tingkat keparahan: Tinggi
Repositori Azure DevOps harus menyelesaikan temuan pemindaian kode
Deskripsi: Kerentanan ditemukan di repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini.
Tingkat keparahan: Sedang
Repositori Azure DevOps harus menyelesaikan temuan pemindaian kerentanan dependensi
Deskripsi: Kerentanan dependensi ditemukan di repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini.
Tingkat keparahan: Sedang
Repositori Azure DevOps harus memiliki infrastruktur sebagai temuan pemindaian kode diselesaikan
Deskripsi: Infrastruktur sebagai masalah konfigurasi keamanan kode yang ditemukan di repositori. Masalah terdeteksi dalam file templat. Untuk meningkatkan postur keamanan sumber daya cloud terkait, sangat disarankan untuk meremediasi masalah tersebut.
Tingkat keparahan: Sedang
Alur Azure DevOps seharusnya tidak memiliki rahasia yang tersedia untuk build fork
Deskripsi: Di repositori publik, ada kemungkinan orang dari luar organisasi membuat fork dan menjalankan build di repositori fork. Dalam kasus seperti itu, jika pengaturan ini diaktifkan, orang luar bisa mendapatkan akses untuk membangun rahasia alur yang dimaksudkan untuk menjadi internal.
Tingkat keparahan: Tinggi
Koneksi layanan Azure DevOps tidak boleh memberikan akses ke semua alur
Deskripsi: Koneksi layanan digunakan untuk membuat koneksi dari Azure Pipelines ke layanan eksternal dan jarak jauh untuk menjalankan tugas dalam pekerjaan. Izin alur mengontrol alur mana yang berwenang untuk menggunakan koneksi layanan. Untuk mendukung keamanan operasi alur, koneksi layanan tidak boleh diberikan akses ke semua alur YAML. Ini membantu mempertahankan prinsip hak istimewa paling sedikit karena kerentanan dalam komponen yang digunakan oleh satu alur dapat digunakan oleh penyerang untuk menyerang alur lain dengan akses ke sumber daya penting.
Tingkat keparahan: Tinggi
File aman Azure DevOps tidak boleh memberikan akses ke semua alur
Deskripsi: File aman memberi pengembang cara untuk menyimpan file yang dapat dibagikan di seluruh alur. File-file ini biasanya digunakan untuk menyimpan rahasia seperti sertifikat penandatanganan dan kunci SSH. Jika file aman diberikan akses ke semua alur YAML, pengguna yang tidak sah dapat mencuri informasi dari file aman dengan membangun alur YAML dan mengakses file aman.
Tingkat keparahan: Tinggi
Grup variabel Azure DevOps dengan variabel rahasia tidak boleh memberikan akses ke semua alur
Deskripsi: Grup variabel menyimpan nilai dan rahasia yang mungkin ingin Anda teruskan ke alur YAML atau tersedia di beberapa alur. Anda dapat berbagi dan menggunakan grup variabel dalam beberapa alur dalam proyek yang sama. Jika grup variabel yang berisi rahasia ditandai sebagai dapat diakses oleh semua alur YAML, maka penyerang dapat mengeksploitasi aset yang melibatkan variabel rahasia dengan membuat alur baru.
Tingkat keparahan: Tinggi
Koneksi layanan Azure DevOps Classic Azure tidak boleh digunakan untuk mengakses langganan
Deskripsi: Gunakan jenis koneksi layanan Azure Resource Manager (ARM) alih-alih koneksi layanan Azure Classic untuk menyambungkan ke langganan Azure. Model ARM menawarkan beberapa peningkatan keamanan, termasuk kontrol akses yang lebih kuat, audit yang ditingkatkan, penyebaran/tata kelola berbasis ARM, akses ke identitas terkelola dan brankas kunci untuk rahasia, autentikasi berbasis Izin Entra, dan dukungan untuk tag dan grup sumber daya untuk manajemen yang disederhanakan.
Tingkat keparahan: Sedang
(Pratinjau) Repositori Azure DevOps harus menyelesaikan temuan pengujian keamanan API
Deskripsi: Kerentanan keamanan API ditemukan di repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini.
Tingkat keparahan: Sedang
(Pratinjau) Repositori Azure DevOps harus memerlukan persetujuan dua peninjau minimum untuk pendorongan kode
Deskripsi: Untuk mencegah perubahan yang tidak diinginkan atau berbahaya diterapkan secara langsung, penting untuk menerapkan kebijakan perlindungan untuk cabang default di repositori Azure DevOps. Sebaiknya minta setidaknya dua peninjau kode untuk menyetujui permintaan pull sebelum kode digabungkan dengan cabang default. Dengan memerlukan persetujuan dari jumlah minimum dua peninjau, Anda dapat mengurangi risiko modifikasi yang tidak sah, yang dapat menyebabkan ketidakstabilan sistem atau kerentanan keamanan.
Rekomendasi ini diberikan dalam postur keamanan dasar Defender untuk Cloud, jika Anda telah menghubungkan Azure DevOps ke Defender untuk Cloud.
Tingkat keparahan: Tinggi
(Pratinjau) Repositori Azure DevOps tidak boleh mengizinkan pemohon menyetujui Permintaan Pull mereka sendiri
Deskripsi: Untuk mencegah perubahan yang tidak diinginkan atau berbahaya diterapkan secara langsung, penting untuk menerapkan kebijakan perlindungan untuk cabang default di repositori Azure DevOps. Sebaiknya larangan pembuat permintaan pull menyetujui pengajuan mereka sendiri untuk memastikan bahwa setiap perubahan mengalami peninjauan objektif oleh seseorang selain penulis. Dengan melakukan ini, Anda dapat mengurangi risiko modifikasi yang tidak sah, yang dapat menyebabkan ketidakstabilan sistem atau kerentanan keamanan.
Rekomendasi ini diberikan dalam postur keamanan dasar Defender untuk Cloud, jika Anda telah menghubungkan Azure DevOps ke Defender untuk Cloud.
Tingkat keparahan: Tinggi
(Pratinjau) Proyek Azure DevOps harus menonaktifkan pembuatan alur klasik
Deskripsi: Menonaktifkan pembuatan alur build dan rilis klasik mencegah masalah keamanan yang berasal dari YAML dan alur klasik yang berbagi sumber daya yang sama, misalnya koneksi layanan yang sama. Penyerang potensial dapat memanfaatkan alur klasik untuk membuat proses yang menghindari mekanisme pertahanan khas yang disiapkan di sekitar alur YAML modern.
Tingkat keparahan: Tinggi
Rekomendasi GitHub
Organisasi GitHub tidak boleh membuat rahasia tindakan dapat diakses oleh semua repositori
Deskripsi: Untuk rahasia yang digunakan dalam alur kerja GitHub Action yang disimpan di tingkat organisasi GitHub, Anda dapat menggunakan kebijakan akses untuk mengontrol repositori mana yang dapat menggunakan rahasia organisasi. Rahasia tingkat organisasi memungkinkan Anda berbagi rahasia di antara beberapa repositori. Ini mengurangi kebutuhan untuk membuat rahasia duplikat. Namun, setelah rahasia diakses oleh repositori, siapa pun dengan akses tulis di repositori dapat mengakses rahasia dari cabang mana pun dalam alur kerja. Untuk mengurangi permukaan serangan, pastikan bahwa rahasia hanya dapat diakses dari repositori yang dipilih.
Rekomendasi ini diberikan dalam postur keamanan dasar Defender untuk Cloud, jika Anda telah menghubungkan Azure DevOps ke Defender untuk Cloud.
Tingkat keparahan: Tinggi
Repositori GitHub harus mengaktifkan pemindaian rahasia
Deskripsi: GitHub memindai repositori untuk jenis rahasia yang diketahui, untuk mencegah penggunaan rahasia penipuan yang secara tidak sengaja diterapkan ke repositori. Pemindaian rahasia otomatis memindai seluruh riwayat Git Anda di semua cabang yang ada di repositori GitHub untuk menemukan rahasia apa pun. Contoh rahasia adalah token dan kunci privat yang dapat dikeluarkan penyedia layanan untuk autentikasi. Jika rahasia dimasukkan ke dalam repositori, siapa pun yang memiliki akses baca ke repositori dapat menggunakan rahasia untuk mengakses layanan eksternal dengan hak istimewa tersebut. Rahasia harus disimpan di lokasi khusus yang aman di luar repositori untuk proyek.
Tingkat keparahan: Tinggi
Repositori GitHub harus mengaktifkan pemindaian kode
Deskripsi: GitHub menggunakan pemindaian kode untuk menganalisis kode untuk menemukan kerentanan dan kesalahan keamanan dalam kode. Pemindaian kode dapat digunakan untuk menemukan, melakukan triase, dan memprioritaskan perbaikan untuk masalah yang ada dalam kode Anda. Pemindaian kode juga mencegah pengembang menyebabkan masalah baru. Pemindaian dapat dijadwalkan untuk hari dan waktu tertentu, atau pemindaian dapat dipicu saat peristiwa tertentu terjadi di repositori, seperti pendorongan. Jika pemindaian kode menemukan potensi kerentanan atau kesalahan dalam kode, GitHub akan menampilkan peringatan di repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek.
Tingkat keparahan: Sedang
Repositori GitHub harus mengaktifkan pemindaian Dependabot
Deskripsi: GitHub mengirimkan pemberitahuan Dependabot saat mendeteksi kerentanan dalam dependensi kode yang memengaruhi repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek atau proyek lain yang menggunakan kodenya. Kerentanan bervariasi menurut jenis, tingkat keparahan, dan metode serangan. Saat kode bergantung pada paket yang memiliki kerentanan keamanan, dependensi yang rentan ini dapat menyebabkan berbagai masalah.
Tingkat keparahan: Sedang
Repositori GitHub harus menyelesaikan temuan pemindaian rahasia
Deskripsi: Rahasia yang ditemukan di repositori kode. Hal ini harus segera diremediasi untuk mencegah pelanggaran keamanan. Rahasia yang ditemukan di repositori dapat bocor atau ditemukan oleh musuh, sehingga menyebabkan bahaya pada aplikasi atau layanan.
Tingkat keparahan: Tinggi
Repositori GitHub harus menyelesaikan temuan pemindaian kode
Deskripsi: Kerentanan ditemukan di repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini.
Tingkat keparahan: Sedang
Repositori GitHub harus memiliki temuan pemindaian kerentanan dependensi yang diselesaikan
Deskripsi: Repositori GitHub harus menyelesaikan temuan pemindaian kerentanan dependensi.
Tingkat keparahan: Sedang
Repositori GitHub harus memiliki infrastruktur saat temuan pemindaian kode diselesaikan
Deskripsi: Masalah konfigurasi keamanan infrastruktur sebagai kode ditemukan di repositori. Masalah terdeteksi dalam file templat. Untuk meningkatkan postur keamanan sumber daya cloud terkait, sangat disarankan untuk meremediasi masalah tersebut.
Tingkat keparahan: Sedang
Repositori GitHub harus memiliki kebijakan perlindungan untuk cabang default yang diaktifkan
Deskripsi: Cabang default repositori harus dilindungi melalui kebijakan perlindungan cabang untuk mencegah perubahan yang tidak diinginkan/berbahaya diterapkan langsung ke repositori.
Tingkat keparahan: Tinggi
Repositori GitHub harus memiliki dorongan paksa ke cabang default yang dinonaktifkan
Deskripsi: Karena cabang default biasanya digunakan untuk penyebaran dan aktivitas istimewa lainnya, setiap perubahan pada cabang tersebut harus didekati dengan hati-hati. Mengaktifkan dorongan paksa dapat memperkenalkan perubahan yang tidak diinginkan atau berbahaya ke cabang default.
Tingkat keparahan: Sedang
Organisasi GitHub harus mengaktifkan perlindungan push pemindaian rahasia
Deskripsi: Perlindungan Push akan memblokir penerapan yang berisi rahasia sehingga mencegah paparan rahasia yang tidak disengaja. Untuk menghindari risiko paparan kredensial, Perlindungan Push harus diaktifkan secara otomatis untuk setiap repositori yang diaktifkan pemindaian rahasia.
Tingkat keparahan: Tinggi
Repositori GitHub tidak boleh menggunakan pelari yang dihost sendiri
Deskripsi: Pelari yang Dihost sendiri di GitHub tidak memiliki jaminan operasi di komputer virtual bersih sementara dan dapat terus-menerus disusupi oleh kode yang tidak tepercaya dalam alur kerja. Dengan demikian, Pelari yang Dihost sendiri tidak boleh digunakan untuk alur kerja tindakan.
Tingkat keparahan: Tinggi
Organisasi GitHub harus memiliki izin alur kerja tindakan yang diatur ke baca-saja
Deskripsi: Secara default, Alur kerja tindakan harus diberikan izin baca-saja untuk mencegah pengguna berbahaya mengeksploitasi alur kerja yang terlalu izin untuk mengakses dan mengubah sumber daya.
Tingkat keparahan: Tinggi
Organisasi GitHub harus memiliki lebih dari satu orang dengan izin administrator
Deskripsi: Memiliki setidaknya dua administrator mengurangi risiko kehilangan akses admin. Ini berguna dalam kasus skenario akun break-glass.
Tingkat keparahan: Tinggi
Organisasi GitHub harus memiliki izin dasar yang diatur ke tidak ada izin atau baca
Deskripsi: Izin dasar harus diatur ke tidak ada atau dibaca bagi organisasi untuk mengikuti prinsip hak istimewa paling sedikit dan mencegah akses yang tidak perlu.
Tingkat keparahan: Tinggi
(Pratinjau) Repositori GitHub harus menyelesaikan temuan pengujian keamanan API
Deskripsi: Kerentanan keamanan API ditemukan di repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini.
Tingkat keparahan: Sedang
(Pratinjau) Organisasi GitHub tidak boleh membuat rahasia tindakan dapat diakses oleh semua repositori
Deskripsi: Untuk rahasia yang digunakan dalam alur kerja GitHub Action yang disimpan di tingkat organisasi GitHub, Anda dapat menggunakan kebijakan akses untuk mengontrol repositori mana yang dapat menggunakan rahasia organisasi. Rahasia tingkat organisasi memungkinkan Anda berbagi rahasia antara beberapa repositori, mengurangi kebutuhan untuk membuat rahasia duplikat. Namun, ketika rahasia dibuat dapat diakses oleh repositori, siapa pun dengan akses tulis di repositori dapat mengakses rahasia dari cabang mana pun dalam alur kerja. Untuk mengurangi permukaan serangan, pastikan bahwa rahasia hanya dapat diakses dari repositori yang dipilih.
Tingkat keparahan: Tinggi
(Pratinjau) Organisasi GitHub harus memblokir saran Copilot yang cocok dengan kode publik
Deskripsi: Mengaktifkan filter GitHub Copilot untuk memblokir saran kode yang cocok dengan kode publik di GitHub meningkatkan keamanan dan kepatuhan hukum. Ini mencegah penggabungan kode publik atau sumber terbuka yang tidak disengaja, mengurangi risiko masalah hukum dan memastikan kepatuhan terhadap persyaratan lisensi. Selain itu, ini membantu menghindari memperkenalkan potensi kerentanan dari kode publik ke dalam proyek organisasi, sehingga mempertahankan kualitas dan keamanan kode yang lebih tinggi. Ketika filter diaktifkan, GitHub Copilot memeriksa saran kode dengan kode sekitarnya sekitar 150 karakter terhadap kode publik di GitHub. Jika ada kecocokan atau mendekati kecocokan, saran tidak akan ditampilkan.
Tingkat keparahan: Tinggi
(Pratinjau) Organisasi GitHub harus memberlakukan autentikasi multifaktor untuk kolaborator luar
Deskripsi: Memberlakukan autentikasi multifaktor untuk kolaborator luar dalam organisasi GitHub adalah langkah keamanan yang mengharuskan kolaborator menggunakan bentuk identifikasi tambahan selain kata sandi mereka untuk mengakses repositori dan sumber daya organisasi. Ini meningkatkan keamanan dengan melindungi dari akses yang tidak sah, bahkan jika kata sandi disusupi, dan membantu memastikan kepatuhan terhadap standar industri. Ini melibatkan informasi kolaborator tentang persyaratan dan memberikan dukungan untuk transisi, pada akhirnya mengurangi risiko pelanggaran data.
Tingkat keparahan: Tinggi
(Pratinjau) Repositori GitHub harus memerlukan persetujuan dua peninjau minimum untuk pendorongan kode
Deskripsi: Untuk mencegah perubahan yang tidak diinginkan atau berbahaya dilakukan secara langsung, penting untuk menerapkan kebijakan perlindungan untuk cabang default di repositori GitHub. Sebaiknya minta setidaknya dua peninjau kode untuk menyetujui permintaan pull sebelum kode digabungkan dengan cabang default. Dengan memerlukan persetujuan dari jumlah minimum dua peninjau, Anda dapat mengurangi risiko modifikasi yang tidak sah, yang dapat menyebabkan ketidakstabilan sistem atau kerentanan keamanan.
Tingkat keparahan: Tinggi
Rekomendasi GitLab
Proyek GitLab harus menyelesaikan temuan pemindaian rahasia
Deskripsi: Rahasia ditemukan di repositori kode. Hal ini harus segera diremediasi untuk mencegah pelanggaran keamanan. Rahasia yang ditemukan di repositori dapat bocor atau ditemukan oleh musuh, sehingga menyebabkan bahaya pada aplikasi atau layanan.
Tingkat keparahan: Tinggi
Proyek GitLab harus menyelesaikan temuan pemindaian kode
Deskripsi: Kerentanan ditemukan di repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini.
Tingkat keparahan: Sedang
Proyek GitLab harus menyelesaikan temuan pemindaian kerentanan dependensi
Deskripsi: Repositori GitHub harus menyelesaikan temuan pemindaian kerentanan dependensi.
Tingkat keparahan: Sedang
Proyek GitLab harus memiliki infrastruktur saat temuan pemindaian kode diselesaikan
Deskripsi: Masalah konfigurasi keamanan infrastruktur sebagai kode ditemukan di repositori. Masalah yang ditampilkan terdeteksi dalam file templat. Untuk meningkatkan postur keamanan sumber daya cloud terkait, sangat disarankan untuk meremediasi masalah tersebut.
Tingkat keparahan: Sedang
Rekomendasi keamanan DevOps yang tidak digunakan lagi
Repositori kode harus memiliki temuan pemindaian kode yang diselesaikan
Deskripsi: Keamanan DevOps di Defender untuk Cloud telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Repositori kode harus menyelesaikan temuan pemindaian rahasia
Deskripsi: Keamanan DevOps di Defender untuk Cloud telah menemukan rahasia di repositori kode. Hal ini harus segera diremediasi untuk mencegah pelanggaran keamanan. Rahasia yang ditemukan di repositori dapat bocor atau ditemukan oleh musuh, sehingga menyebabkan bahaya pada aplikasi atau layanan. Untuk Azure DevOps, alat CredScan DevOps Microsoft Security hanya memindai build yang telah dikonfigurasi untuk dijalankan. Oleh karena itu, hasil mungkin tidak mencerminkan status lengkap rahasia di repositori Anda. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Repositori kode harus menyelesaikan temuan pemindaian Dependabot
Deskripsi: Keamanan DevOps di Defender untuk Cloud telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Repositori kode harus menyelesaikan temuan pemindaian kode sebagai infrastruktur
Deskripsi: Keamanan DevOps di Defender untuk Cloud telah menemukan infrastruktur sebagai masalah konfigurasi keamanan kode di repositori. Masalah yang ditampilkan terdeteksi dalam file templat. Untuk meningkatkan postur keamanan sumber daya cloud terkait, sangat disarankan untuk meremediasi masalah tersebut. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Repositori GitHub harus mengaktifkan pemindaian kode
Deskripsi: GitHub menggunakan pemindaian kode untuk menganalisis kode untuk menemukan kerentanan dan kesalahan keamanan dalam kode. Pemindaian kode dapat digunakan untuk menemukan, melakukan triase, dan memprioritaskan perbaikan untuk masalah yang ada dalam kode Anda. Pemindaian kode juga mencegah pengembang menyebabkan masalah baru. Pemindaian dapat dijadwalkan untuk hari dan waktu tertentu, atau pemindaian dapat dipicu saat peristiwa tertentu terjadi di repositori, seperti pendorongan. Jika pemindaian kode menemukan potensi kerentanan atau kesalahan dalam kode, GitHub akan menampilkan peringatan di repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Repositori GitHub harus mengaktifkan pemindaian rahasia
Deskripsi: GitHub memindai repositori untuk jenis rahasia yang diketahui, untuk mencegah penggunaan rahasia penipuan yang secara tidak sengaja diterapkan ke repositori. Pemindaian rahasia otomatis memindai seluruh riwayat Git Anda di semua cabang yang ada di repositori GitHub untuk menemukan rahasia apa pun. Contoh rahasia adalah token dan kunci privat yang dapat dikeluarkan penyedia layanan untuk autentikasi. Jika rahasia dimasukkan ke dalam repositori, siapa pun yang memiliki akses baca ke repositori dapat menggunakan rahasia untuk mengakses layanan eksternal dengan hak istimewa tersebut. Rahasia harus disimpan di lokasi khusus yang aman di luar repositori untuk proyek. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Repositori GitHub harus mengaktifkan pemindaian Dependabot
Deskripsi: GitHub mengirimkan pemberitahuan Dependabot saat mendeteksi kerentanan dalam dependensi kode yang memengaruhi repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek atau proyek lain yang menggunakan kodenya. Kerentanan bervariasi menurut jenis, tingkat keparahan, dan metode serangan. Saat kode bergantung pada paket yang memiliki kerentanan keamanan, dependensi yang rentan ini dapat menyebabkan berbagai masalah. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang