git-secrets を使用して Git リポジトリに機密情報やセキュリティ上の問題がないかスキャンする - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

git-secrets を使用して Git リポジトリに機密情報やセキュリティ上の問題がないかスキャンする

作成者: Saurabh Singh (AWS)

環境:本稼働

テクノロジー: セキュリティ、アイデンティティ、コンプライアンス

ワークロード: オープンソース

[概要]

このパターンは、AWS ラボのオープンソースの git-secrets ツールを使用して Git ソースリポジトリをスキャンし、ユーザーパスワードや AWS アクセスキーなどの機密情報を含む可能性のあるコードや、その他のセキュリティ上の問題があるコードを見つける方法を説明しています。

git-secrets は、コミット、コミットメッセージ、マージをスキャンして、シークレットなどの機密情報が Git リポジトリに追加されないようにします。例えば、コミット、コミットメッセージ、またはマージ履歴のコミットが、設定済みで禁止されている正規表現パターンのいずれかに一致した場合、そのコミットは拒否されます。

前提条件と制限

前提条件

  • アクティブな AWS アカウント

  • セキュリティスキャンが必要な Git リポジトリ

  • Git クライアント (バージョン 2.37.1 以降) がインストールされていること

アーキテクチャ

ターゲットアーキテクチャ

  • Git

  • git-secrets

ツール

  • git-secrets は、機密情報を Git リポジトリにコミットすることを防ぐツールです。

  • Git はオープンソースの分散型バージョン管理システムです。

ベストプラクティス

  • 必ず、すべてのリビジョンを含めて Git リポジトリをスキャンしてください。

git secrets --scan-history

エピック

タスク説明必要なスキル

SSH を使用して EC2 インスタンスに接続する。

SSH とキーペアファイルを使用して、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続します。

ローカルマシンでリポジトリをスキャンする場合は、このステップをスキップできます。

AWS 全般
タスク説明必要なスキル

Git をインストールする。

次のコマンドを使用して Git をインストールします。

yum install git -y

ローカルマシンを使用している場合は、特定の OS バージョンの Git クライアントをインストールできます。詳細については、Git Web サイトを参照してください。

AWS 全般
タスク説明必要なスキル

Git ソースリポジトリをクローンする。

スキャンする Git リポジトリを複製するには、ホームディレクトリから Git clone コマンドを選択します。

AWS 全般

git-secrets をクローンする。

git-secrets git リポジトリをクローンします。

git clone https://github.com/awslabs/git-secrets.git

git-secrets の実行時に Git がそれを取得できるように、PATH のどこかに git-secrets を配置します。

AWS 全般

git-secrets をインストールする。

Unix およびバリアント (Linux/MacOS) の場合:

Makefile (git-secrets リポジトリに用意されている) install のターゲットを使用してツールをインストールできます。PREFIX および MANPREFIX 変数を使用してインストールパスをカスタマイズできます。

make install

Windows の場合:

git-secrets リポジトリで提供されているスクリプトを実行します PowerShell install.ps1。このスクリプトは、インストールファイルをインストールディレクトリ (%USERPROFILE%/.git-secrets デフォルト) にコピーし、そのディレクトリを現在のユーザー PATH に追加します。

PS > ./install.ps1

Homebrew (macOS ユーザー) の場合:

以下を実行します:

brew install git-secrets

詳細については、「関連リソース」セクションを参照してください。

AWS 全般
タスク説明必要なスキル

ソースリポジトリに移動する。

スキャンする Git リポジトリのディレクトリに切り替えます。

cd my-git-repository
AWS 全般

AWS ルールセット (Git フック) を登録する。

各コミットで Git リポジトリをスキャンするように git-secrets を設定するには、以下のコマンドを実行します。

git secrets --register-aws
AWS 全般

リポジトリをスキャンする。

次のコマンドを実行して、リポジトリのスキャンを開始します。

git secrets -–scan
AWS 全般

出力ファイルを確認する。

Git リポジトリに脆弱性が見つかると、ツールは出力ファイルを生成します。例:

example.sh:4:AWS_SECRET_ACCESS_KEY = ********* [ERROR] Matched one or more prohibited patterns Possible mitigations: - Mark false positives as allowed using: git config --add secrets.allowed ... - Mark false positives as allowed by adding regular expressions to .gitallowed at repository's root directory - List your configured patterns: git config --get-all secrets.patterns - List your configured allowed patterns: git config --get-all secrets.allowed - List your configured allowed patterns in .gitallowed at repository's root directory - Use --no-verify if this is a one-time false positive
AWS 全般

関連リソース