Vous utilisez GitLab ? Vos utilisateurs laissent bien plus de secrets dans les dépôts git que vous ne le pensiez
Imaginez divulguer accidentellement des informations sensibles en ligne plus d’une douzaine de fois par minute ! C’est la vitesse alarmante à laquelle les clés secrètes sont exposées sur les référentiels publics selon GitHub. Au cours des huit premières semaines de 2024 seulement, ils ont détecté plus d’un million de fuites de secrets. Cela met en évidence la nécessité cruciale de meilleures garanties pour prévenir ces expositions accidentelles (voir ici).
Compte tenu de l’urgence, GitHub a récemment annoncé qu’il offrirait cette fonctionnalité gratuitement sur les dépôts publics et a récemment modifié le comportement par défaut pour analyser et empêcher l’ajout de secrets (pour les dépôts privés, elle est fournie uniquement dans l’édition Enterprise).
Qu’en est-il de GitLab?
GitLab propose l’analyse de deux manières, mais aucune ne couvre entièrement cette situation pour le moment :
La première méthode vous permet d’analyser le contenu des fichiers, mais elle ne fonctionne qu’après qu’ils ont déjà été poussés… (et dans l’édition GitLab Ultimate uniquement). Remarque : dans ce cas, supprimer complètement la version du dépôt est très complexe et pas du tout trivial.
La deuxième méthode vous permet d’analyser avant de pousser, mais elle n’analyse pas le contenu du fichier mais uniquement le suffixe du fichier… (et disponible dans l’édition GitLab Premium ou supérieure).
En comparaison, GitHub vous permet d’analyser le contenu des fichiers avant même de les pousser.
C’est pourquoi nous avons pensé à une solution immédiate à GitLab où nous pouvons vous aider à obtenir une couverture complète !
Solution:
Vous devez rechercher les secrets avant même que vos utilisateurs ne valident les modifications apportées au dépôt – et en analysant le contenu des fichiers – et empêcher qu’ils ne soient transmis au dépôt central dans GitLab.
Notre équipe est formée pour offrir ce type de service professionnel – nous pouvons développer cette partie manquante pour vous, en tant que solution sur mesure que vous pouvez déployer sur tous les utilisateurs et dépôts GitLab dont vous disposez. Pour obtenir plus d’informations, veuillez nous contacter (les détails sont ci-dessous )
Avez-vous mis en place un outil de gestion des secrets ?
Sinon, nous pouvons également vous aider (nous fournissons et prenons en charge une variété de solutions de gestion des secrets).
