| Разработчики: | GitHub |
| Дата последнего релиза: | 2022/04/12 |
| Технологии: | ИБ - Предотвращения утечек информации |
Содержание |
Основная статья: DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
2022
Представление функции Dependency Review GitHub Action
Разработчики GitHub представили функцию Dependency Review GitHub Action, которая сканирует запросы пользователей на предмет внесенных изменений в зависимости и выдает ошибку, если какие-либо новые зависимости содержат уязвимости. Об этом стало известно в апреле 2022 года.
На апрель 2022 года Dependabot уже предупреждает разработчиков при обнаружении уязвимостей в их существующих зависимостях, но нововведение направлено на обеспечение безопасности при добавлении новой зависимости.
Функция доступна для частных репозиториев с лицензией Github Advanced Security и для всех общедоступных репозиториев на GitHub Marketplace и на вкладке «Действия» пользовательского репозитория под заголовком «Безопасность».Почему для замены ERP Oracle «ФосАгро» выбрал не «1С»? CIO компании Денис Новиков — о крупнейших проектах импортозамещения 
Dependency Review GitHub Action поддерживается конечной точкой API, которая различает зависимости между любыми двумя версиями. Это достигается путем добавления нового действия GitHub для проверки зависимостей в существующий рабочий процесс в одном из проектов[1].
Возможность упреждающей блокировки утечек токенов к API
GitHub объявил об усилении защиты от попадания в репозитории конфиденциальных данных, по недосмотру оставленных разработчиками в коде. Об этом стало известно 5 апреля 2022 года. Например, случается, что в репозиторий попадают файлы конфигурации с паролями к СУБД, токены или ключи доступа к API. Ранее сканирование осуществлялось в пассивном режиме и позволяло выявлять уже произошедшие утечки, попавшие в репозиторий. Для предотвращения утечек GitHub дополнительно начал предоставлять опцию для автоматического блокирования коммитов, в которых выявлено наличие конфиденциальных данных.
Проверка осуществляется при выполнении git push и приводит к генерации предупреждения о нарушении безопасности в случае выявления в коде токенов для подключения к типовым API. Всего реализовано 69 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов. После блокировки разработчику предлагается провести рецензирование проблемного кода, устранить утечку и повторить коммит или пометить блокировку ложной.
Опция для превентивного блокирования утечек пока доступна только организациям, имеющим доступ к сервису "GitHub Advanced Security". Сканирование в пассивном режиме осуществляется бесплатно для всех публичных репозиториев, но остаётся платным для приватных репозиториев. Сообщается, что пассивное сканирование уже выявило более 700 тысяч утечек конфиденциальных данных в приватных репозиториях[2].
Примечания
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (66) SearchInform (СёрчИнформ) (61) Softline (Софтлайн) (60) ДиалогНаука (46) Информзащита (43) Другие (959) Солар (Solar) (8) SearchInform (СёрчИнформ) (4) А-Реал Консалтинг (3) Информзащита (3) Deiteriy (Дейтерий) (2) Другие (44) Инфосистемы Джет (6) Softline (Софтлайн) (4) Inspect (3) МСС Международная служба сертификации (3) Уральский центр систем безопасности (УЦСБ) (3) Другие (39)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SearchInform (СёрчИнформ) (19, 65) InfoWatch (ИнфоВотч) (16, 49) Солар (Solar) (4, 49) Positive Technologies (Позитив Текнолоджиз) (8, 43) FalconGaze (Фалконгейз) (1, 38) Другие (415, 315) Солар (Solar) (2, 7) SearchInform (СёрчИнформ) (2, 4) А-Реал Консалтинг (1, 3) Softscore UG (1, 2) Positive Technologies (Позитив Текнолоджиз) (1, 2) Другие (5, 6) SearchInform (СёрчИнформ) (2, 2) R-Vision (Р-Вижн) (1, 1) Softscore UG (1, 1) Инфосистемы Джет (1, 1) Перспективный мониторинг (1, 1) Другие (8, 8) SearchInform (СёрчИнформ) (2, 16) Перспективный мониторинг (1, 4) Positive Technologies (Позитив Текнолоджиз) (1, 2) Crosstech Solutions Group (Кросстех Солюшнс Групп) (1, 1) Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1) Другие (3, 3) SearchInform (СёрчИнформ) (2, 7) Positive Technologies (Позитив Текнолоджиз) (1, 6) Перспективный мониторинг (1, 3) IT Expertise (ИТ-Экспертиза) (1, 1) Солар (Solar) (1, 1) Другие (1, 1)Распределение систем по количеству проектов, не включая партнерские решения
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 59 InfoWatch Traffic Monitor Enterprise (IWTM) - 46 MaxPatrol SIEM - 39 FalconGaze SecureTower - 38 DeviceLock Endpoint DLP Suite - 31 Другие 354 Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4 Solar Dozor DLP-система - 4 А-Реал Консалтинг: Интернет-шлюз ИКС - 3 Solar JSOC - 3 SearchInform FileAuditor - 2 Другие 10 Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 Makves DCAP (Data-Centric Audit and Protection) - 1 Jet CyberCamp - 1 Cloud4Y Стахановец аренда и хостинг - 1 Перспективный мониторинг: Ampire Киберполигон - 1 Другие 9 
