유출된 시크릿에 대한 자동 대응

GitLab이 토큰을 취소하거나 파트너에게 알림으로써 유출된 시크릿에 자동으로 대응하는 방법을 설명합니다. 또한 벤더가 파트너 API를 통해 통합하는 방법도 설명합니다.

GitLab 시크릿 감지는 특정 유형의 유출된 시크릿을 발견하면 자동으로 대응합니다. 자동 대응은 다음을 수행할 수 있습니다: 시크릿을 자동으로 취소합니다. 시크릿을 발행한 파트너에게 알립니다. 파트너는 시크릿을 취소하거나 소유자에게 알리거나 남용에 대비할 수 있습니다. 지원되는 시크릿 유형 및 액션 # GitLab은 다음 유형의 시크릿에 대해 자동 대응을 지원합니다: 시크릿 유형 취해지는 액션 GitLab.com에서 지원 GitLab Self-Managed에서 지원 GitLab 개인 접근 토큰 즉시 토큰 취소, 소유자에게 이메일 전송. 1 ✅ ✅ Amazon Web Services(AWS) IAM 접근 키 AWS에 알림. ✅ ⚙ Google Cloud 서비스 계정 키 , API 키 , OAuth 클라이언트 시크릿 Google Cloud에 알림. ✅ ⚙ Postman API 키 Postman에 알림. Postman이 키 소유자에게 알림 . ✅ ⚙ 각주 : gitlab_personal_access_token 에 대해서만 지원됩니다. 컴포넌트 범례 : ✅ - 기본으로 사용 가능 ⚙ - Token Revocation API를 사용한 수동 통합 필요 기능 가용성 # 히스토리 GitLab 15.11에서 기본이 아닌 브랜치에 대해 활성화 됨. 자격 증명은 시크릿 감지가 다음의 경우에만 후처리됩니다: 공개 프로젝트에서. 공개적으로 노출된 자격 증명은 위협이 증가하기 때문입니다. 비공개 프로젝트로의 확장은 이슈 391379 에서 검토 중입니다. 기술적인 이유로 GitLab Ultimate가 있는 프로젝트에서. 모든 티어로의 확장은 이슈 391763 에서 추적됩니다. 고수준 아키텍처 # 이 다이어그램은 후처리 훅이 GitLab 애플리케이션에서 시크릿을 취소하는 방법을 설명합니다: Mermaid 다이어그램 (15줄) 소스 코드 보기 %%{init: { "fontFamily": "GitLab Sans" }}%% sequenceDiagram accTitle: Architecture diagram accDescr: How a post-processing hook revokes a secret in the GitLab application. autonumber GitLab Rails-->+GitLab Rails: gl-secret-detection-report.json GitLab Rails->>+GitLab Sidekiq: StoreScansService GitLab Sidekiq-->+GitLab Sidekiq: ScanSecurityReportSecretsWorker GitLab Sidekiq-->+GitLab token revocation API: GET revocable keys types GitLab token revocation API-->>-GitLab Sidekiq: OK GitLab Sidekiq->>+GitLab t