本文档介绍如何在 Secure Source Manager 中使用集成的数据泄露防护 (DLP) 功能来保护敏感信息。
Secure Source Manager 中的 DLP 功能通过分析推送到代码库的每个提交,主动扫描应加密或移除的敏感信息,从而增强代码库的安全性。如果检测到此类数据,DLP 会自动拒绝推送,防止敏感详细信息被意外合并。
Secure Source Manager 中的 DLP 功能会将以下类别的信息视为敏感信息:
- 加密密钥:包括 SSH 私钥等项。
- AWS 凭据:Amazon Web Services 的访问密钥和私有访问密钥。
- GCP 凭据:服务账号密钥和其他 Google Cloud 密钥。
- OAuth 客户端密钥:使用 OAuth 进行应用身份验证的密钥。
- 密钥:用于身份验证或授权的敏感密钥。
启用数据泄露防护功能
确保为您的代码库启用以下角色和设置。
所需角色
如需获得启用数据泄露防护功能所需的权限,请让您的管理员为您授予Secure Source Manager 代码库管理员 (roles/securesourcemanager.repoAdmin) IAM 角色,该角色位于 Secure Source Manager 实例上。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
您也可以通过自定义 角色或其他预定义 角色来获取所需的权限。
如需了解如何授予 Secure Source Manager 角色, 请参阅 使用 IAM 进行访问权限控制 和 向用户授予实例访问权限。
更新代码库设置
您可以通过 Secure Source Manager 界面为代码库启用 DLP:
- 前往要为其启用 DLP 的代码库。
- 点击设置 图标。
- 找到数据泄露防护 切换开关。
- 将切换开关滑动到开启 位置。
在 Secure Source Manager 中使用 DLP
启用 DLP 后,它会主动监控对代码库的提交。如果在提交中发现任何敏感信息,系统会阻止合并提交,并且用户会在其命令行界面中收到一条错误消息,指明存在敏感数据。此时,用户有两种选择:
还原更改
如需移除敏感信息,您可以使用以下命令还原有问题的提交:
git reset --soft sha1-commit-id
将 sha1-commit-id 替换为实际的提交 ID。
由于 Git 会保留所有提交的历史记录,因此敏感内容仍可从之前的提交中恢复。为避免这种情况,请使用 git reset --soft 命令。然后,更正文件并再次提交,以从分支的近期历史记录中移除数据。
强制推送提交(绕过 DLP)
在特定情况下,如果检测到的信息被认为是可接受的,则具有相应权限的用户可以选择绕过 DLP 检查并强制推送提交:
git push -o dlpskip=true origin branch-name
将 branch-name 替换为您要合并的分支的名称。