Riepilogo Prerequisiti e limitazioni Architettura Strumenti Best practice Epiche Risorse correlate

Scansiona gli archivi Git alla ricerca di informazioni sensibili e problemi di sicurezza utilizzando git-secrets

Creato da Saurabh Singh (AWS)

Ambiente: produzione

Tecnologie: sicurezza, identità, conformità

Carico di lavoro: open source

Riepilogo

Questo modello descrive come utilizzare lo strumento open source git-secrets di AWS Labs per scansionare gli archivi di sorgenti Git e trovare codice che potrebbe includere informazioni sensibili, come password utente o chiavi di accesso AWS, o che presenta altri problemi di sicurezza.

git-secretsanalizza i commit, i messaggi di commit e le unioni per impedire che informazioni sensibili come quelle segrete vengano aggiunte ai tuoi repository Git. Ad esempio, se un commit, un messaggio di commit o qualsiasi commit in una cronologia di unione corrisponde a uno dei modelli di espressioni regolari proibiti e configurati, il commit viene rifiutato.

Prerequisiti e limitazioni

Prerequisiti

Un account AWS attivo
Un repository Git che richiede una scansione di sicurezza
Un client Git (versione 2.37.1 e successive) installato

Architettura

Architettura Target

Git
git-secrets

Utilizzo dello strumento git-secrets per scansionare i repository di sorgenti Git alla ricerca di informazioni sensibili.

Strumenti

git-secrets è uno strumento che ti impedisce di inserire informazioni sensibili nei repository Git.
Git è un sistema di controllo delle versioni distribuito open source.

Best practice

Scansiona sempre un repository Git includendo tutte le revisioni:


git secrets --scan-history

Epiche

Attività	Descrizione	Competenze richieste
Connect a un'istanza EC2 utilizzando SSH.	Connettiti a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) utilizzando SSH e un file di key pair. Puoi saltare questo passaggio se stai scansionando un repository sul tuo computer locale.	Informazioni generali su AWS

Attività

Descrizione

Competenze richieste

Connect a un'istanza EC2 utilizzando SSH.

Connettiti a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) utilizzando SSH e un file di key pair.

Puoi saltare questo passaggio se stai scansionando un repository sul tuo computer locale.

Informazioni generali su AWS

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Installa Git.	Installa Git usando il comando: `yum install git -y` Se stai usando il tuo computer locale, puoi installare un client Git per una versione specifica del sistema operativo. Per ulteriori informazioni, consulta il sito Web Git.	Informazioni generali su AWS

Installa Git.

Installa Git usando il comando:


yum install git -y

Se stai usando il tuo computer locale, puoi installare un client Git per una versione specifica del sistema operativo. Per ulteriori informazioni, consulta il sito Web Git.

Informazioni generali su AWS

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Clona il repository dei sorgenti Git.	Per clonare il repository Git che vuoi scansionare, scegli il comando Git clone dalla tua home directory.	Informazioni generali su AWS
Clona git-secrets.	Clona il repository `git-secrets` Git. `git clone https://github.com/awslabs/git-secrets.git` Posizionalo `git-secrets` da qualche parte nel tuo in `PATH` modo che Git lo raccolga quando corri`git-secrets`.	Informazioni generali su AWS
Installa git-secrets.	Per Unix e varianti (Linux/macOS): È possibile utilizzare la `install` destinazione di `Makefile` (fornita nel `git-secrets` repository) per installare lo strumento. È possibile personalizzare il percorso di installazione utilizzando le `MANPREFIX` variabili `PREFIX` and. `make install` Per Windows: Esegui lo PowerShell `install.ps1` script fornito nel `git-secrets` repository. Questo script copia i file di installazione in una directory di installazione (`%USERPROFILE%/.git-secrets`per impostazione predefinita) e aggiunge la directory all'utente `PATH` corrente. `PS > ./install.ps1` Per Homebrew (utenti macOS): Esegui: `brew install git-secrets` Per ulteriori informazioni, consulta la sezione Risorse correlate.	Informazioni generali su AWS

Clona il repository dei sorgenti Git.

Per clonare il repository Git che vuoi scansionare, scegli il comando Git clone dalla tua home directory.

Informazioni generali su AWS

Clona git-secrets.

Clona il repository git-secrets Git.


git clone https://github.com/awslabs/git-secrets.git

Posizionalo git-secrets da qualche parte nel tuo in PATH modo che Git lo raccolga quando corrigit-secrets.

Informazioni generali su AWS

Installa git-secrets.

Per Unix e varianti (Linux/macOS):

È possibile utilizzare la install destinazione di Makefile (fornita nel git-secrets repository) per installare lo strumento. È possibile personalizzare il percorso di installazione utilizzando le MANPREFIX variabili PREFIX and.


make install

Per Windows:

Esegui lo PowerShell install.ps1 script fornito nel git-secrets repository. Questo script copia i file di installazione in una directory di installazione (%USERPROFILE%/.git-secretsper impostazione predefinita) e aggiunge la directory all'utente PATH corrente.


PS > ./install.ps1

Per Homebrew (utenti macOS):

Esegui:


brew install git-secrets

Per ulteriori informazioni, consulta la sezione Risorse correlate.

Informazioni generali su AWS

Attività	Descrizione	Competenze richieste
Vai al repository dei sorgenti.	Passa alla directory del repository Git che desideri scansionare: `cd my-git-repository`	Informazioni generali su AWS
Registra il set di regole AWS (Git hooks).	`git-secrets`Per configurare la scansione del tuo repository Git su ogni commit, esegui il comando: `git secrets --register-aws`	Informazioni generali su AWS
Scansiona il repository.	Esegui il seguente comando per avviare la scansione del repository: `git secrets -–scan`	Informazioni generali su AWS
Esamina il file di output.	Lo strumento genera un file di output se rileva una vulnerabilità nel tuo repository Git. Per esempio: example.sh:4:AWS_SECRET_ACCESS_KEY = ********* [ERROR] Matched one or more prohibited patterns Possible mitigations: - Mark false positives as allowed using: git config --add secrets.allowed ... - Mark false positives as allowed by adding regular expressions to .gitallowed at repository's root directory - List your configured patterns: git config --get-all secrets.patterns - List your configured allowed patterns: git config --get-all secrets.allowed - List your configured allowed patterns in .gitallowed at repository's root directory - Use --no-verify if this is a one-time false positive	Informazioni generali su AWS

Risorse correlate

Webhook Git con servizi AWS (AWS Quick Start)
strumento git-secrets
Migrazione di un repository Git su AWS (tutorial pratico su AWS)
Riferimento alle CodeCommit API AWS

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Impedisci l'accesso a Internet utilizzando un SCP

Inviare avvisi da AWS Network Firewall a un canale Slack