Безопасность в SourceCraft
Многие инциденты, связанные с утечкой секретов, вызваны ошибками конфигурации репозиториев. При этом число CVE с каждым годом возрастает. DevOps-циклы ускорились, поэтому ручные проверки безопасности стали неэффективными и дорогими.
SourceCraft объединяет управление кодом, CI/CD и встроенные инструменты безопасности. Они созданы для обеспечения надежных и защищенных процессов разработки. Это помогает создавать устойчивые и безопасные продукты.
По умолчанию в SourceCraft включены функции Secret Scanning и Supply Chain, с помощью которых вы можете обнаружить риски, связанные с утечкой секретов в коде, и риски эксплуатации уязвимостей в зависимостях, которые используются при разработке ПО.
Secret Scanning: поиск секретов в истории коммитов
Сканирование секретов — инструмент, с помощью которого каждый коммит в истории репозитория проверяется на наличие чувствительных данных в коде: ключей API, токенов, сертификатов и других секретов.
При сканировании используется сигнатурный движок для поиска паттернов, которые соответствуют строкам различных секретов. Обнаруженные фрагменты кода отображаются в репозитории в разделе Безопасность в секции Сканирование секретов.
Для каждого найденного секрета отображается следующая информация:
- Тип секрета.
- Идентификатор коммита и время последнего обнаружения.
- Путь к файлу и фрагмент кода, в котором обнаружен секрет.
- Статус инцидента — Открыт или Решён.
- Отметка о ложном срабатывании (если было отмечено).
Подробнее см. Сканирование секретов в репозитории SourceCraft.
Безопасность Supply Chain: анализ зависимостей
В SourceCraft доступен анализ зависимостей (Software Composition Analysis, SCA), которые используются в репозитории.
SCA — это набор инструментов, которые позволяют разработчику определить, какие зависимости используются в процессе разработки ПО, и какие известные уязвимости они содержат.
SCA автоматически строит Software Bill of Materials (SBOM) — список всех зависимостей проекта, включая транзитивные, и сопоставляет их с актуальными базами CVE.
Результатом работы SCA являются инциденты по критическим уязвимостям, рекомендации по обновлению, отчеты по лицензиям и, при необходимости, — автоматические пул-реквесты с безопасными версиями. Инструмент работает в фоне, не нагружая CI/CD и предоставляя командам разработчиков и безопасности прозрачную и управляемую среду для работы с Open Source. Обнаруженные уязвимости отображаются в репозитории в разделе Безопасность в секции Зависимости.
Для каждой найденной уязвимости отображается следующая информация:
- Номер CVE, название пакета и его текущая версия.
- Цветовая маркировка уровня критичности обнаруженной проблемы.
- Статус инцидента — Открыт или Решён.
- Отметка о ложном срабатывании (если было отмечено).
Подробнее см. Анализ уязвимостей в зависимостях репозитория SourceCraft.