Dela via

Konfigurera hemlighetsskanning

Exponerade autentiseringsuppgifter i tekniksystem ger lättangripliga möjligheter för angripare. För att skydda mot det här hotet söker GitHub Advanced Security för Azure DevOps efter autentiseringsuppgifter och annat känsligt innehåll i källkoden. Push-skydd förhindrar också att autentiseringsuppgifter läcker ut från början. Du behöver antingen GitHub Advanced Security för Azure DevOps eller, om du använder den fristående upplevelsen, GitHub Secret Protection för Azure DevOps aktiverat.

Hemlighetsgenomsökning av ditt arkiv söker efter hemligheter som kanske redan finns i din källkod genom historiken och push-skydd förhindrar att nya hemligheter exponeras i källkoden.

GitHub Advanced Security för Azure DevOps fungerar med Azure Repos. Information om hur du använder GitHub Advanced Security med GitHub-lagringsplatser finns i GitHub Advanced Security.

Förutsättningar

Kategori Kravspecifikation
behörigheter - Så här visar du en sammanfattning av alla aviseringar för en lagringsplats: Deltagare behörigheter för lagringsplatsen.
– Så här stänger du aviseringar i Avancerad säkerhet: Projektadministratör behörigheter.
– För att hantera behörigheter i Avancerad säkerhet: Medlem i Project Collection-administratörer-gruppen, eller Avancerad säkerhet: hantera inställningar -behörighet inställd på Tillåt.

Mer information om avancerade säkerhetsbehörigheter finns i Hantera avancerade säkerhetsbehörigheter.

Om aviseringar om hemlig genomsökning

När du aktiverar Advanced Security eller Secret Protection specifikt genomsöker det lagringsplatser efter hemligheter som utfärdats av olika tjänsteleverantörer och genererar aviseringar om hemlig genomsökning.

Om åtkomst till en resurs kräver kopplade autentiseringsuppgifter skapar hemlig genomsökning endast en avisering när båda delarna av paret identifieras i samma fil. Parkoppling säkerställer att de mest kritiska läckorna inte döljs bakom information om partiella läckor. Parmatchning hjälper också till att minska falska positiva identifieringar eftersom båda elementen i ett par måste användas tillsammans för att få åtkomst till providerns resurs.

Fliken Avancerad säkerhet på Repos>Advanced Security i Azure DevOps är hubben för att visa dina säkerhetsaviseringar. Välj fliken Hemligheter för att visa aviseringar om hemlighetsgenomsökning. Du kan filtrera efter tillstånd och hemlig typ. Gå till en avisering för mer information, inklusive reparationsvägledning. När du har aktiverat Avancerad säkerhet startar en genomsökning för den valda lagringsplatsen, inklusive alla historiska incheckningar. Med tiden börjar aviseringar visas när genomsökningen fortskrider.

Att byta namn på grenar påverkar inte resultatet. Det kan dock ta upp till 24 timmar innan det nya namnet visas.

Skärmbild som visar varningar för aktiv hemlighetsgenomsökning.

Om du vill åtgärda exponerade hemligheter ogiltigförklarar du de exponerade autentiseringsuppgifterna och skapar en ny i dess ställe. Den nyligen skapade hemligheten bör sedan lagras säkert på ett sätt som inte direkt skickar tillbaka den till koden. Hemligheten kan till exempel lagras i Azure Key Vault. De flesta resurser har både en primär och sekundär autentiseringsuppgift. Metoden för att rulla över en primär autentiseringsuppgift jämfört med en sekundär autentiseringsuppgift är identisk, om inget annat anges.

Hantera aviseringar för hemlig genomsökning

Visa aviseringar för en lagringsplats

Välj fliken Hemligheter för att visa alla aviseringar om hemlig genomsökning.

Om Advanced Security nyligen har aktiverats för lagringsplatsen kan du se ett kort som anger att Advanced Security fortfarande genomsöker lagringsplatsen.

Skärmbild som visar genomsökning efter hemligheter.

När genomsökningen är klar visas eventuella resultat. En enda avisering genereras för varje identifierad unik autentiseringsuppgift i alla grenar och historik för din lagringsplats. Det finns inga grenfilter eftersom de samlas in i en avisering.

Icke-leverantörshemligheter kan ses genom att välja "Annat" i rullgardinsmenyn för förtroende på fliken för hemlighetsgranskning.

Skärmbild av säkerhetsfiltret för hemlighetsgenomsökning i GitHub Advanced Security.

Aviseringsinformation

När du navigerar till en avisering visas en detaljerad aviseringsvy och visar mer information om sökningen och ger specifik reparationsvägledning för att lösa aviseringen.

Skärmbild som visar information om en avisering om hemlig genomsökning

Avsnitt Förklaring
Plats Avsnittet Platser beskriver sökvägarna där hemlig genomsökning upptäckte den läckta autentiseringsuppgiften. Det kan finnas flera ställen eller flera åtaganden i historiken som innehåller den läckta autentiseringsuppgiften. Alla dessa platser och incheckningar visas under Platser med en direktlänk till kodfragmentet och checka in det identifierades i.
Rekommendation Rekommendationsavsnittet innehåller vägledning om reparation eller länk till reparationsvägledning för dokumentation som inte kommer från Microsoft för identifierade autentiseringsuppgifter.
Stäng aviseringar Det finns inget autofixbeteende för aviseringar om hemlig genomsökning. Alla aviseringar för hemlig genomsökning måste manuellt intygas som fasta via aviseringsinformationssidan. Välj knappen Stäng för att kontrollera att hemligheten har återkallats.
Allvarlighet Alla aviseringar för hemlig genomsökning anges som kritiska. Alla exponerade autentiseringsuppgifter är potentiellt en möjlighet för en illvillig aktör.
Hitta information Den typ av autentiseringsuppgifter och regel som används för att hitta autentiseringsuppgifterna visas under sidan Hitta information i sidofältet på sidan med aviseringsinformation.

Med icke-providertillhöriga hemligheter visas också taggen Konfidens: annan vid allvarlighetens märke i detaljvyn för alerten.

Skärmbild av hemligheten GitHub Advanced Security genomsöker allmän aviseringsinformation.

Åtgärda aviseringar för hemlig genomsökning

Varje hemlighet har unika reparationssteg som hjälper dig att återkalla och återskapa en ny hemlighet i dess ställe. Aviseringsinformationen delar specifika steg eller dokumentation för varje avisering.

En hemlig genomsökningsavisering förblir öppen tills den är stängd. Så här intygar du att en hemlig genomsökningsavisering har åtgärdats:

  1. Gå till den avisering som du vill stänga och välj aviseringen.
  2. Välj listrutan Stäng avisering.
  3. Om du inte redan har valt väljer du Fast.
  4. Välj Stäng för att skicka och stänga aviseringen.

Skärmbild som visar hur du stänger en avisering om hemlig genomsökning

Stänga aviseringar för hemlig genomsökning

Gör följande för att stänga en avisering:

  1. Gå till den avisering som du vill stänga och välj i aviseringen.
  2. Välj listrutan Stäng avisering.
  3. Om du inte redan har valt väljer du antingen Risk accepterad eller Falsk positiv som stängningsorsak.
  4. Lägg till en valfri kommentar i textrutan Kommentar .
  5. Välj Stäng för att skicka och stänga aviseringen.
  6. Aviseringstillståndet ändras från Öppna till Stängd och visar orsaken till uppsägningen.

Skärmbild som visar information om uppsägning för en hemlig genomsökningsavisering

Du kan öppna en tidigare avvisad avisering manuellt.

Skydda komprometterade hemligheter

När en hemlighet har lagts till i en repository, är hemligheten komprometterad. Microsoft rekommenderar följande åtgärder för komprometterade hemligheter:

Viktigt!

Vi rekommenderar säkrare Microsoft Entra-token över personliga åtkomsttoken med högre risk. Läs mer om vårt arbete med att minska PAT-användningen. Läs vår autentiseringsvägledning för att välja rätt autentiseringsmekanism för dina behov.

  • För en komprometterad personlig åtkomsttoken för Azure DevOps tar du bort den komprometterade token, skapar en ny token och uppdaterar alla tjänster som använder den gamla token.
  • För alla andra hemligheter kontrollerar du först att hemligheten som har checkats in på Azure Repos är giltig. I så fall skapar du en ny hemlighet, uppdaterar alla tjänster som använder den gamla hemligheten och tar sedan bort den gamla hemligheten.
  • Identifiera åtgärder som vidtagits av den komprometterade åtkomsttoken på företagets resurser.

När du uppdaterar en hemlighet lagrar du den nya hemligheten på ett säkert sätt och ser till att den aldrig lagras som klartext. Ett alternativ är att använda Azure Key Vault eller andra lösningar för hemlig hantering.

Hemligt push-skydd

Push-skydd kontrollerar eventuella inkommande push-meddelanden för hemligheter med hög konfidens och förhindrar att push-överföringen går igenom. Ett felmeddelande visar alla identifierade hemligheter där du kan ta bort dem eller fortsätta att skicka hemligheterna om det behövs.

Om push-skyddsaviseringar

Push-skyddsaviseringar är användaraviseringar som rapporteras av push-skydd. Hemlig genomsökning som ett push-skydd söker för närvarande igenom lagringsplatser efter hemligheter som utfärdats av vissa tjänstleverantörer.

Om åtkomst till en resurs kräver kopplade autentiseringsuppgifter kan hemlig genomsökning endast skapa en avisering när båda delarna av paret identifieras i samma fil. Parkopplingen säkerställer att de mest kritiska läckorna inte döljs bakom information om partiella läckor. Parmatchning hjälper också till att minska falska positiva identifieringar eftersom båda elementen i ett par måste användas tillsammans för att få åtkomst till providerns resurs.

Push-skydd kanske inte blockerar äldre versioner av vissa token eftersom dessa token kan generera ett högre antal falska positiva identifieringar än den senaste versionen. Push-skydd kanske inte heller blockerar äldre token. För token som Azure Storage Keys stöder Advanced Security endast nyligen skapade token, inte token som matchar de äldre mönstren.

Push-skydd från kommandoraden

Push-skydd är inbyggt i Azure DevOps Git. Om dina incheckningar innehåller en identifierad hemlighet visas följande felmeddelande för att pushen avvisades.

Skärmbild som visar en git-push som blockeras från VS Code

Push-skydd från webbgränssnittet

Push-skydd fungerar också från webbgränssnittet. Om en hemlighet identifieras i en kommitt visas följande felmeddelande, vilket hindrar dig från att pusha ändringarna.

Skärmbild som visar en git-push som blockeras från AzDO-webbgränssnittet

Vad du ska göra om push-överföringen har blockerats

Push-skydd blockerar hemligheter som finns i oformaterade textfiler som vanligtvis (men inte är begränsade till) textfiler som källkod eller JSON-konfigurationsfiler. Dessa hemligheter lagras i klartext. Om en dålig aktör får åtkomst till filerna och de publiceras till en offentlig lagringsplats kan alla använda hemligheterna.

Ta bort hemligheten från den flaggade filen och ta sedan bort hemligheten från incheckningshistoriken. Om den flaggade hemligheten är en platshållare eller exempelhemlighet, uppdaterar du den falska hemligheten genom att lägga till strängen Placeholder framför den falska hemligheten.

Om hemligheten lades till i din omedelbara tidigare incheckning ändrar du incheckningen och skapar en ny incheckning:

  1. Ta bort hemligheten från koden.
  2. Genomför ändringarna med hjälp av git commit --amend
  3. Skicka ändringarna igen.

Om hemligheten lades till längre tillbaka i historiken redigerar du dina incheckningar med hjälp av en interaktiv ombasering:

  1. Använd git log för att avgöra vilken incheckning du använde när du först checkade in hemligheten.
  2. Utför en interaktiv ombasering: git rebase -i [commit ID before credential introduction]~1
  3. Identifiera incheckningen för redigering genom att ändra pick till edit på den första textraden som visas i redigeraren.
  4. Ta bort hemligheten från koden.
  5. Checka in ändringen med git commit --amend.
  6. Slutför ombasen genom att köra git rebase --continue.

Push-överför en blockerad hemlighet

Kringgå inte flaggade hemligheter eftersom det kan äventyra företagets säkerhet. Om du bekräftar att en identifierad hemlighet inte är en falsk positiv identifiering tar du bort hemligheten från hela grenhistoriken innan du försöker skicka ändringarna igen.

Om du tror att en blockerad hemlighet är en falsk positiv eller säker push-överföring kan du kringgå push-skydd. Inkludera strängen skip-secret-scanning:true i incheckningsmeddelandet. Även om du kringgår push-skydd genereras en hemlig genomsökningsavisering i aviserings-UX när hemligheten skickas.

Om giltighetskontroller

Hemliga giltighetskontroller hjälper dig att prioritera aviseringar genom att ange om en identifierad hemlighet fortfarande kan användas. För hemliga typer som stöds frågar GitHub Advanced Security för Azure DevOps automatiskt den utfärdande providern om autentiseringsuppgifterna är aktiva, ingen separat funktionsväxling krävs när hemlig genomsökning har aktiverats.

Skärmbild av valideringslistan för avancerad säkerhetshemlighet.

Att ha GitHub Advanced Security för Azure DevOps-paketet eller hemligt skydd möjliggör automatiskt giltighetskontroller.

Vad du får

  • Automatisk verifiering för partnerhemlighetstyper som stöds (ingen extra installation).
  • Status som visas i listan med hemliga genomsökningsaviseringar och informationsfönstret.
  • Filtrera efter valideringsstatus så att du kan fokusera på aktiva hemligheter.
  • Du kan också utföra en "på begäran"-giltighetskontroll för hemligheten i aviseringsvyn.

Status betydelser

Läge Meaning Åtgärd
Active Leverantören bekräftade att hemligheten fortfarande kan användas. Öppna aviseringen och följ stegen för rekommendationer och reparation.
Okänd Ingen slutgiltig signal om aktivitet; Det kan vara inaktivt eller verifieringen misslyckades på grund av tjänst, nätverk eller andra oväntade fel. Behandla som möjligen aktiv; försök att verifiera igen eller rotera om det är känsligt.

Typiskt arbetsflöde

  1. Filtrera valideringsstatus = Active för att visa aviseringar med högst risk.
  2. För varje aktiv hemlighet öppnar du aviseringen och följer de rekommendationer och reparationssteg som anges i aviseringsvyn.
  3. Använd verifiering på begäran efter reparation för att bekräfta statusändringarna.
  4. Åtgärda okända hemligheter härnäst – försök att verifiera på begäran igen eller behandla som aktiva om data är känsliga.
  5. Stäng aviseringar enligt principen när du har slutfört reparationsstegen i aviseringen.

Verifiering på begäran

Använd "verifiera hemlighet" (i larmdetaljen) efter att ha följt rekommendationerna och åtgärderna eller när ett tidigare försök returnerade Okänt. Tidsstämpeln uppdateras när den är klar.