Разработчики: | GitHub |
Дата последнего релиза: | 2022/04/12 |
Технологии: | ИБ - Предотвращения утечек информации |
Содержание |
Основная статья: DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
2022
Представление функции Dependency Review GitHub Action
Разработчики GitHub представили функцию Dependency Review GitHub Action, которая сканирует запросы пользователей на предмет внесенных изменений в зависимости и выдает ошибку, если какие-либо новые зависимости содержат уязвимости. Об этом стало известно в апреле 2022 года.
На апрель 2022 года Dependabot уже предупреждает разработчиков при обнаружении уязвимостей в их существующих зависимостях, но нововведение направлено на обеспечение безопасности при добавлении новой зависимости.
Функция доступна для частных репозиториев с лицензией Github Advanced Security и для всех общедоступных репозиториев на GitHub Marketplace и на вкладке «Действия» пользовательского репозитория под заголовком «Безопасность».Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
Dependency Review GitHub Action поддерживается конечной точкой API, которая различает зависимости между любыми двумя версиями. Это достигается путем добавления нового действия GitHub для проверки зависимостей в существующий рабочий процесс в одном из проектов[1].
Возможность упреждающей блокировки утечек токенов к API
GitHub объявил об усилении защиты от попадания в репозитории конфиденциальных данных, по недосмотру оставленных разработчиками в коде. Об этом стало известно 5 апреля 2022 года. Например, случается, что в репозиторий попадают файлы конфигурации с паролями к СУБД, токены или ключи доступа к API. Ранее сканирование осуществлялось в пассивном режиме и позволяло выявлять уже произошедшие утечки, попавшие в репозиторий. Для предотвращения утечек GitHub дополнительно начал предоставлять опцию для автоматического блокирования коммитов, в которых выявлено наличие конфиденциальных данных.
Проверка осуществляется при выполнении git push и приводит к генерации предупреждения о нарушении безопасности в случае выявления в коде токенов для подключения к типовым API. Всего реализовано 69 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов. После блокировки разработчику предлагается провести рецензирование проблемного кода, устранить утечку и повторить коммит или пометить блокировку ложной.
Опция для превентивного блокирования утечек пока доступна только организациям, имеющим доступ к сервису "GitHub Advanced Security". Сканирование в пассивном режиме осуществляется бесплатно для всех публичных репозиториев, но остаётся платным для приватных репозиториев. Сообщается, что пассивное сканирование уже выявило более 700 тысяч утечек конфиденциальных данных в приватных репозиториях[2].
Примечания
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (66)
Softline (Софтлайн) (57)
SearchInform (СёрчИнформ) (54)
ДиалогНаука (44)
Информзащита (40)
Другие (923)
Инфосистемы Джет (5)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Солар (ранее Ростелеком-Солар) (4)
R-Vision (Р-Вижн) (4)
Другие (62)
Солар (ранее Ростелеком-Солар) (8)
SearchInform (СёрчИнформ) (4)
Информзащита (3)
А-Реал Консалтинг (3)
Makves (Маквес) (2)
Другие (44)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SearchInform (СёрчИнформ) (19, 58)
InfoWatch (ИнфоВотч) (14, 49)
Солар (ранее Ростелеком-Солар) (4, 48)
FalconGaze (Фалконгейз) (1, 38)
Positive Technologies (Позитив Текнолоджиз) (8, 37)
Другие (408, 310)
R-Vision (Р-Вижн) (1, 4)
Инфосекьюрити (Infosecurity) (2, 2)
Солар (ранее Ростелеком-Солар) (2, 2)
SETERE Group (быв. Security Technology Research -ТБИ (Технологии Безопасность Исследования)) (1, 2)
Makves (Маквес) (1, 2)
Другие (10, 13)
Солар (ранее Ростелеком-Солар) (2, 7)
SearchInform (СёрчИнформ) (2, 4)
А-Реал Консалтинг (1, 3)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
Makves (Маквес) (1, 2)
Другие (5, 6)
SearchInform (СёрчИнформ) (2, 2)
Colizeum Langame Software, CLS (Колизеум Лангейм Софт) (1, 1)
Makves (Маквес) (1, 1)
Инфосекьюрити (Infosecurity) (1, 1)
Киберполигон (1, 1)
Другие (8, 8)
SearchInform (СёрчИнформ) (2, 16)
Перспективный мониторинг (1, 4)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1)
СП Облачная платформа (Базис, Basis) (1, 1)
Другие (3, 3)
Распределение систем по количеству проектов, не включая партнерские решения
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 52
InfoWatch Traffic Monitor Enterprise (IWTM) - 46
FalconGaze SecureTower - 38
MaxPatrol SIEM - 33
DeviceLock Endpoint DLP Suite - 31
Другие 347
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Kickidler Система учета рабочего времени - 2
MaxPatrol SIEM - 2
Makves DCAP (Data-Centric Audit and Protection) - 2
SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2
Другие 12
Solar Dozor DLP-система - 4
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Softscore UG: Anwork Бизнес-коммуникатор - 2
Другие 10