写点什么

什么是敏感信息检测,敏感信息检测,安全视图 | 云效

作者:阿里云云效
  • 2022 年 3 月 25 日
  • 本文字数:1376 字

    阅读完需:约 5 分钟

什么是敏感信息检测,敏感信息检测,安全视图 | 云效

什么是敏感信息检测?敏感信息检测,敏感信息检测功能,可以检测代码库中的敏感凭证和密钥,比如 API keys 等信息。集成在合并请求代码评审阶段,可以有效防止敏感信息意外提交。


安全模块提供敏感信息检测结果汇总及查阅服务,


敏感信息检测问题等级分为:BLOCKER, CRITICAL, MAJOR


BLOCKER: 通过规则扫描出来的可能性很高的明文问题 ;


CRITICAL: 通过信息熵模型得出的可能性较高的潜在问题;


MAJOR: 用于测试的敏感信息字段;


立即体验

开启或关闭扫描

代码库管理员角色有权限开启或关闭扫描。


开启扫描


1、在 「设置」- 「集成与服务」中开启



2、弹出的 「用户承诺书」窗口中,阅读并勾选 「我已阅读相关协议并确认开通服务」,然后点击「确认」



3、选择触发扫描的时机


  • 代码提交触发扫描:代码提交即git push后触发扫描

  • 合并请求触发扫描:合并请求事件触发扫描,即创建合并请求、合并请求更新触发扫描



关闭扫描


在 「设置」- 「集成与服务」中关闭


在 「提交」中查看扫描结果

当开启了代码提交触发扫描,可以在 「提交」中查看扫描结果


  1. 在 「提交」列表查看

  2. 鼠标悬停查看敏感信息扫描结果

  3. 点击 「详情」查看扫描详情




在 「合并请求」中查看扫描结果

当开启了合并请求触发扫描,可以在 「合并请求」中查看扫描结果



在 「合并请求」详情查看,查看敏感信息扫描



点击「详情」查看扫描问题



点击具体的扫描问题查看扫描详情



点击 「扫描汇总」查看所有扫描结果


代码敏感信息检测-安全视图

安全模块提供敏感信息检测结果汇总及查阅服务

如何从安全页开启

点击代码库导航中「安全」模块,即①,展示当前可用安全服务列表。如果你是代码库管理员,可点击②直接前往库设置开启服务;如果不具备库管理器权限,可联系代码库管理员开启。



开启服务过程说明参见敏感信息检测,值得注意的是,为了保证每次提交都能够安全合规,开启服务时需要勾选「代码提交触发」,开启后可在安全模块中查看敏感信息检测结果。

执行扫描

开启服务后将自动触发「默认分支」的扫描行为,其他分支需要主动触发。点击①切换分支,若当前分支未执行过扫描,可点击②手动触发一次扫描:


查看扫描结果

当前分支存在扫描结果时展示如下。


由于此处扫描均是基于提交进行的,点击①处可查看当前扫描结果对应的提交详情;点击②处可查看单条问题详情:



问题详情中,展示了当前敏感信息问题的状态,是否已解决;查看问题的引入人和点击①查看引入提交详情;查看具体的问题描述,可点击②处跳转历史源文件;以及问题动态,通过某次提交修复该问题,便于追溯审计。


忽略问题

针对报出的问题,支持忽略操作,可以排除误报或不关注问题的干扰。



击忽略,填写忽略原因后确认:


注意


:忽略仅在当前分支上不再报出,其他分支上的相同问题不受影响



忽略后支持重新打开:


检测问题类型

敏感信息检测当前启用的规则共 53 条,代码库管理员可前往库设置-集成与服务-代码安全中点击①进行查看:



云效代码管理 Codeup 云效代码管理 Codeup,数十万企业都在用的代码管理平台,提供代码托管、代码评审、代码扫描、质量检测、持续集成等功能,全方位保护企业代码资产,帮助企业实现安全、稳定、高效的代码托管和研发管理。


 立即体验

关于我们


了解更多关于阿里云云效 DevOps 的最新动态,可微信搜索并关注【云效】公众号;


福利:公众号后台回复【指南】,可获得《阿里巴巴 DevOps 实践指南》&《10 倍研发效能提升案例集》;


看完觉得对您有所帮助别忘记点赞、收藏和关注呦;



发布于: 刚刚阅读数: 2
用户头像

云效,云原生时代一站式BizDevOps平台 2021.11.05 加入

云效,云原生时代一站式BizDevOps平台,支持公共云、专有云和混合云多种部署形态,通过云原生新技术和研发新模式,助力创新创业和数字化转型企业快速实现研发敏捷和组织敏捷,打造“双敏”组织,实现 10 倍效能提升

评论

发布
暂无评论
什么是敏感信息检测,敏感信息检测,安全视图 | 云效_云计算_阿里云云效_InfoQ写作平台