| Разработчики: | GitHub |
| Дата последнего релиза: | 2022/04/12 |
| Технологии: | ИБ - Предотвращения утечек информации |
Содержание |
Основная статья: DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
2022
Представление функции Dependency Review GitHub Action
Разработчики GitHub представили функцию Dependency Review GitHub Action, которая сканирует запросы пользователей на предмет внесенных изменений в зависимости и выдает ошибку, если какие-либо новые зависимости содержат уязвимости. Об этом стало известно в апреле 2022 года.
На апрель 2022 года Dependabot уже предупреждает разработчиков при обнаружении уязвимостей в их существующих зависимостях, но нововведение направлено на обеспечение безопасности при добавлении новой зависимости.
Функция доступна для частных репозиториев с лицензией Github Advanced Security и для всех общедоступных репозиториев на GitHub Marketplace и на вкладке «Действия» пользовательского репозитория под заголовком «Безопасность».Как развивается рынок Open Source в России. Обзор TAdviser 
Dependency Review GitHub Action поддерживается конечной точкой API, которая различает зависимости между любыми двумя версиями. Это достигается путем добавления нового действия GitHub для проверки зависимостей в существующий рабочий процесс в одном из проектов[1].
Возможность упреждающей блокировки утечек токенов к API
GitHub объявил об усилении защиты от попадания в репозитории конфиденциальных данных, по недосмотру оставленных разработчиками в коде. Об этом стало известно 5 апреля 2022 года. Например, случается, что в репозиторий попадают файлы конфигурации с паролями к СУБД, токены или ключи доступа к API. Ранее сканирование осуществлялось в пассивном режиме и позволяло выявлять уже произошедшие утечки, попавшие в репозиторий. Для предотвращения утечек GitHub дополнительно начал предоставлять опцию для автоматического блокирования коммитов, в которых выявлено наличие конфиденциальных данных.
Проверка осуществляется при выполнении git push и приводит к генерации предупреждения о нарушении безопасности в случае выявления в коде токенов для подключения к типовым API. Всего реализовано 69 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов. После блокировки разработчику предлагается провести рецензирование проблемного кода, устранить утечку и повторить коммит или пометить блокировку ложной.
Опция для превентивного блокирования утечек пока доступна только организациям, имеющим доступ к сервису "GitHub Advanced Security". Сканирование в пассивном режиме осуществляется бесплатно для всех публичных репозиториев, но остаётся платным для приватных репозиториев. Сообщается, что пассивное сканирование уже выявило более 700 тысяч утечек конфиденциальных данных в приватных репозиториях[2].
Примечания
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (67) SearchInform (СёрчИнформ) (67) Softline (Софтлайн) (61) ДиалогНаука (47) Информзащита (43) Другие (1003) Инфосистемы Джет (6) Softline (Софтлайн) (4) Уральский центр систем безопасности (УЦСБ) (3) Inspect (3) Бюро Веритас Сертификейшн Русь (2) Другие (39) SearchInform (СёрчИнформ) (15) Уральский центр систем безопасности (УЦСБ) (6) Softline (Софтлайн) (5) Инфосистемы Джет (4) Перспективный мониторинг (АО ПМ) (3) Другие (47)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SearchInform (СёрчИнформ) (19, 71) Positive Technologies (Позитив Текнолоджиз) (11, 50) Солар (Solar) (5, 50) InfoWatch (ИнфоВотч) (20, 49) FalconGaze (Фалконгейз) (1, 38) Другие (427, 331) SearchInform (СёрчИнформ) (2, 2) Инфосистемы Джет (1, 1) Перспективный мониторинг (АО ПМ) (1, 1) BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1) Colizeum Langame Software, CLS (Колизеум Лангейм Софт) (1, 1) Другие (8, 8) SearchInform (СёрчИнформ) (2, 16) Перспективный мониторинг (АО ПМ) (1, 4) Positive Technologies (Позитив Текнолоджиз) (1, 2) Crosstech Solutions Group (Кросстех Солюшнс Групп) (1, 1) Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1) Другие (3, 3) Positive Technologies (Позитив Текнолоджиз) (3, 12) SearchInform (СёрчИнформ) (2, 12) Перспективный мониторинг (АО ПМ) (1, 4) Cicada8 (АйТиПи Сервисы) (2, 3) Future Crew (Центр инноваций МТС) (1, 2) Другие (11, 11)Распределение систем по количеству проектов, не включая партнерские решения
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 64 InfoWatch Traffic Monitor Enterprise (IWTM) - 46 MaxPatrol SIEM - 43 FalconGaze SecureTower - 38 DeviceLock Endpoint DLP Suite - 31 Другие 372 Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 Перспективный мониторинг: Ampire Киберполигон - 1 Киберполигон Мультифункциональный программно-аппаратный комплекс для проведения киберучений - 1 Softscore UG: Anwork Бизнес-коммуникатор - 1 Langame Software Программный комплекс для управления компьютерным клубом - 1 Другие 9 Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 16 SearchInform FileAuditor - 5 Перспективный мониторинг: Ampire Киберполигон - 4 MaxPatrol SIEM - 2 Security Vision Next Generation SOAR (NG SOAR) - 1 Другие 4 
