| Разработчики: | GitHub |
| Дата последнего релиза: | 2022/04/12 |
| Технологии: | ИБ - Предотвращения утечек информации |
Содержание |
Основная статья: DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
2022
Представление функции Dependency Review GitHub Action
Разработчики GitHub представили функцию Dependency Review GitHub Action, которая сканирует запросы пользователей на предмет внесенных изменений в зависимости и выдает ошибку, если какие-либо новые зависимости содержат уязвимости. Об этом стало известно в апреле 2022 года.
На апрель 2022 года Dependabot уже предупреждает разработчиков при обнаружении уязвимостей в их существующих зависимостях, но нововведение направлено на обеспечение безопасности при добавлении новой зависимости.
Функция доступна для частных репозиториев с лицензией Github Advanced Security и для всех общедоступных репозиториев на GitHub Marketplace и на вкладке «Действия» пользовательского репозитория под заголовком «Безопасность».Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 
Dependency Review GitHub Action поддерживается конечной точкой API, которая различает зависимости между любыми двумя версиями. Это достигается путем добавления нового действия GitHub для проверки зависимостей в существующий рабочий процесс в одном из проектов[1].
Возможность упреждающей блокировки утечек токенов к API
GitHub объявил об усилении защиты от попадания в репозитории конфиденциальных данных, по недосмотру оставленных разработчиками в коде. Об этом стало известно 5 апреля 2022 года. Например, случается, что в репозиторий попадают файлы конфигурации с паролями к СУБД, токены или ключи доступа к API. Ранее сканирование осуществлялось в пассивном режиме и позволяло выявлять уже произошедшие утечки, попавшие в репозиторий. Для предотвращения утечек GitHub дополнительно начал предоставлять опцию для автоматического блокирования коммитов, в которых выявлено наличие конфиденциальных данных.
Проверка осуществляется при выполнении git push и приводит к генерации предупреждения о нарушении безопасности в случае выявления в коде токенов для подключения к типовым API. Всего реализовано 69 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов. После блокировки разработчику предлагается провести рецензирование проблемного кода, устранить утечку и повторить коммит или пометить блокировку ложной.
Опция для превентивного блокирования утечек пока доступна только организациям, имеющим доступ к сервису "GitHub Advanced Security". Сканирование в пассивном режиме осуществляется бесплатно для всех публичных репозиториев, но остаётся платным для приватных репозиториев. Сообщается, что пассивное сканирование уже выявило более 700 тысяч утечек конфиденциальных данных в приватных репозиториях[2].
Примечания
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (63) Softline (Софтлайн) (54) ДиалогНаука (44) SearchInform (СёрчИнформ) (40) Информзащита (39) Другие (892) Инфосистемы Джет (5) Национальный аттестационный центр (НАЦ) (4) Солар (ранее Ростелеком-Солар) (4) Card Security (Кард Сек) (4) R-Vision (Р-Вижн) (4) Другие (63) Солар (ранее Ростелеком-Солар) (8) SearchInform (СёрчИнформ) (4) А-Реал Консалтинг (3) Информзащита (3) BI.Zone (Безопасная Информационная Зона, Бизон) (2) Другие (45)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
InfoWatch (ИнфоВотч) (14, 49) Солар (ранее Ростелеком-Солар) (4, 48) SearchInform (СёрчИнформ) (19, 44) FalconGaze (Фалконгейз) (1, 38) Positive Technologies (Позитив Текнолоджиз) (5, 35) Другие (402, 303) R-Vision (Р-Вижн) (1, 4) Инфосекьюрити (Infosecurity) (2, 2) Солар (ранее Ростелеком-Солар) (2, 2) Makves (Маквес) (1, 2) Positive Technologies (Позитив Текнолоджиз) (1, 2) Другие (10, 13) Солар (ранее Ростелеком-Солар) (2, 7) SearchInform (СёрчИнформ) (2, 4) А-Реал Консалтинг (1, 3) Makves (Маквес) (1, 2) Softscore UG (1, 2) Другие (5, 6) SearchInform (СёрчИнформ) (2, 2) Инфосекьюрити (Infosecurity) (1, 1) Киберполигон (1, 1) ARinteg (АРинтег) (1, 1) Cloud4Y (ООО Флекс) (1, 1) Другие (8, 8) SearchInform (СёрчИнформ) (1, 3) Makves (Маквес) (1, 1) Перспективный мониторинг (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
InfoWatch Traffic Monitor Enterprise (IWTM) - 46 FalconGaze SecureTower - 38 Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 38 DeviceLock Endpoint DLP Suite - 31 MaxPatrol SIEM - 31 Другие 335 R-Vision SGRC Центр контроля информационной безопасности - 4 Makves DCAP (Data-Centric Audit and Protection) - 2 Kickidler Система учета рабочего времени - 2 Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 MaxPatrol SIEM - 2 Другие 12 Solar Dozor DLP-система - 4 Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4 А-Реал Консалтинг: Интернет-шлюз ИКС - 3 Solar JSOC - 3 Softscore UG: Anwork Бизнес-коммуникатор - 2 Другие 10 
