| Разработчики: | GitHub |
| Дата последнего релиза: | 2022/04/12 |
| Технологии: | ИБ - Предотвращения утечек информации |
Содержание |
Основная статья: DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
2022
Представление функции Dependency Review GitHub Action
Разработчики GitHub представили функцию Dependency Review GitHub Action, которая сканирует запросы пользователей на предмет внесенных изменений в зависимости и выдает ошибку, если какие-либо новые зависимости содержат уязвимости. Об этом стало известно в апреле 2022 года.
На апрель 2022 года Dependabot уже предупреждает разработчиков при обнаружении уязвимостей в их существующих зависимостях, но нововведение направлено на обеспечение безопасности при добавлении новой зависимости.
Функция доступна для частных репозиториев с лицензией Github Advanced Security и для всех общедоступных репозиториев на GitHub Marketplace и на вкладке «Действия» пользовательского репозитория под заголовком «Безопасность».Как развивается российский рынок цифровизации закупок. Обзор TAdviser 
Dependency Review GitHub Action поддерживается конечной точкой API, которая различает зависимости между любыми двумя версиями. Это достигается путем добавления нового действия GitHub для проверки зависимостей в существующий рабочий процесс в одном из проектов[1].
Возможность упреждающей блокировки утечек токенов к API
GitHub объявил об усилении защиты от попадания в репозитории конфиденциальных данных, по недосмотру оставленных разработчиками в коде. Об этом стало известно 5 апреля 2022 года. Например, случается, что в репозиторий попадают файлы конфигурации с паролями к СУБД, токены или ключи доступа к API. Ранее сканирование осуществлялось в пассивном режиме и позволяло выявлять уже произошедшие утечки, попавшие в репозиторий. Для предотвращения утечек GitHub дополнительно начал предоставлять опцию для автоматического блокирования коммитов, в которых выявлено наличие конфиденциальных данных.
Проверка осуществляется при выполнении git push и приводит к генерации предупреждения о нарушении безопасности в случае выявления в коде токенов для подключения к типовым API. Всего реализовано 69 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов. После блокировки разработчику предлагается провести рецензирование проблемного кода, устранить утечку и повторить коммит или пометить блокировку ложной.
Опция для превентивного блокирования утечек пока доступна только организациям, имеющим доступ к сервису "GitHub Advanced Security". Сканирование в пассивном режиме осуществляется бесплатно для всех публичных репозиториев, но остаётся платным для приватных репозиториев. Сообщается, что пассивное сканирование уже выявило более 700 тысяч утечек конфиденциальных данных в приватных репозиториях[2].
Примечания
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (66) Softline (Софтлайн) (57) SearchInform (СёрчИнформ) (54) ДиалогНаука (44) Информзащита (41) Другие (925) Солар (ранее Ростелеком-Солар) (8) SearchInform (СёрчИнформ) (4) А-Реал Консалтинг (3) Информзащита (3) Softscore UG (2) Другие (44) Инфосистемы Джет (7) Softline (Софтлайн) (4) Уральский центр систем безопасности (УЦСБ) (3) Inspect (3) МСС Международная служба сертификации (3) Другие (39) SearchInform (СёрчИнформ) (15) Уральский центр систем безопасности (УЦСБ) (6) Softline (Софтлайн) (5) Инфосистемы Джет (4) Перспективный мониторинг (3) Другие (49)Данные не найдены
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SearchInform (СёрчИнформ) (19, 58) InfoWatch (ИнфоВотч) (15, 49) Солар (ранее Ростелеком-Солар) (4, 48) FalconGaze (Фалконгейз) (1, 38) Positive Technologies (Позитив Текнолоджиз) (8, 37) Другие (411, 310) Солар (ранее Ростелеком-Солар) (2, 7) SearchInform (СёрчИнформ) (2, 4) А-Реал Консалтинг (1, 3) Positive Technologies (Позитив Текнолоджиз) (1, 2) Makves (Маквес) (1, 2) Другие (5, 6) SearchInform (СёрчИнформ) (2, 2) BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1) Colizeum Langame Software, CLS (Колизеум Лангейм Софт) (1, 1) Makves (Маквес) (1, 1) Инфосекьюрити (Infosecurity) (1, 1) Другие (8, 8) SearchInform (СёрчИнформ) (2, 16) Перспективный мониторинг (1, 4) Positive Technologies (Позитив Текнолоджиз) (1, 2) Crosstech Solutions Group (Кросстех Солюшнс Групп) (1, 1) Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1) Другие (3, 3)Данные не найдены
Распределение систем по количеству проектов, не включая партнерские решения
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 52 InfoWatch Traffic Monitor Enterprise (IWTM) - 46 FalconGaze SecureTower - 38 MaxPatrol SIEM - 33 DeviceLock Endpoint DLP Suite - 31 Другие 347 Solar Dozor DLP-система - 4 Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4 Solar JSOC - 3 А-Реал Консалтинг: Интернет-шлюз ИКС - 3 Softscore UG: Anwork Бизнес-коммуникатор - 2 Другие 10 Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 Киберполигон Мультифункциональный программно-аппаратный комплекс для проведения киберучений - 1 Softscore UG: Anwork Бизнес-коммуникатор - 1 R-Vision Threat Intelligence Platform (TIP) - 1 CyberPeak Спектр - 1 Другие 9 Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 16 SearchInform FileAuditor - 5 Перспективный мониторинг: Ampire Киберполигон - 4 MaxPatrol SIEM - 2 Security Vision Next Generation SOAR (NG SOAR) - 1 Другие 4 
