Este documento descreve como proteger suas informações sensíveis com a prevenção contra perda de dados (DLP) integrada no Secure Source Manager.
A DLP no Secure Source Manager aumenta a segurança da sua base de código analisando cada confirmação enviada aos seus repositórios, verificando ativamente informações sensíveis que precisam ser criptografadas ou removidas. Se esses dados forem detectados, a DLP vai rejeitar automaticamente o envio, impedindo que detalhes sensíveis sejam mesclados inadvertidamente.
A DLP no Secure Source Manager trata as seguintes categorias de informações como sensíveis:
- Chaves de criptografia: inclui itens como chaves privadas SSH.
- Credenciais da AWS: chaves de acesso e chaves secretas da Amazon Web Services.
- Credenciais do GCP: chaves de contas de serviço e outros Google Cloud secrets.
- Chaves secretas do cliente OAuth: secrets usados para autenticação de aplicativos usando o OAuth.
- Chaves secretas: chaves sensíveis usadas para autenticação ou autorização.
Ativar a prevenção contra perda de dados
Verifique se os papéis e as configurações a seguir estão ativados para seu repositório.
Funções exigidas
Para receber as permissões necessárias para ativar a prevenção contra perda de dados, peça ao administrador para conceder a você o papel do IAM Administrador do repositório do Secure Source Manager (roles/securesourcemanager.repoAdmin) na instância do Secure Source Manager.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.
Para informações sobre como conceder papéis do Secure Source Manager, consulte Controle de acesso com o IAM e Conceder acesso de instância aos usuários.
Atualizar as configurações do repositório
É possível ativar a DLP para seus repositórios pela interface do Secure Source Manager:
- Navegue até o repositório em que você quer ativar a DLP.
- Clique no ícone Configurações.
- Localize o botão de alternância Prevenção contra perda de dados.
- Deslize o botão para a posição Ativado.
Como trabalhar com a DLP no Secure Source Manager
Depois que a DLP é ativada, ela monitora ativamente as confirmações no seu repositório. Se alguma informação sensível for identificada em uma confirmação, o sistema vai impedir que ela seja mesclada, e os usuários vão receber uma mensagem de erro na interface de linha de comando indicando a presença de dados sensíveis. Nesse momento, os usuários têm duas opções:
Reverter a mudança
Para remover as informações sensíveis, você pode reverter a confirmação problemática usando o comando a seguir:
git reset --soft sha1-commit-id
Substitua sha1-commit-id pelo ID de confirmação real.
Como o Git mantém o histórico de todas as confirmações, o material sensível ainda pode ser recuperado de confirmações anteriores. Para evitar isso, use o comando git reset --soft. Em seguida, corrija os arquivos e confirme-os novamente para remover os dados do histórico recente da ramificação.
Forçar a confirmação (ignorar a DLP)
Em situações específicas em que as informações detectadas são consideradas aceitáveis, os usuários com as permissões adequadas podem ignorar a verificação da DLP e forçar a confirmação:
git push -o dlpskip=true origin branch-name
Substitua branch-name pelo nome da ramificação que você está mesclando.