유출된 시크릿에 대한 자동 대응

GitLab이 토큰을 취소하거나 파트너에게 알림으로써 유출된 시크릿에 자동으로 대응하는 방법을 설명합니다. 또한 벤더가 파트너 API를 통해 통합하는 방법도 설명합니다.

GitLab 시크릿 감지는 특정 유형의 유출된 시크릿을 발견하면 자동으로 대응합니다. 자동 대응은 다음을 수행할 수 있습니다: 시크릿을 자동으로 취소합니다. 시크릿을 발행한 파트너에게 알립니다. 파트너는 시크릿을 취소하거나 소유자에게 알리거나 남용에 대비할 수 있습니다. 지원되는 시크릿 유형 및 액션 # GitLab은 다음 유형의 시크릿에 대해 자동 대응을 지원합니다: 시크릿 유형 취해지는 액션 GitLab.com에서 지원 GitLab Self-Managed에서 지원 GitLab 개인 액세스 토큰 즉시 토큰 취소, 소유자에게 이메일 전송. 1 ✅ ✅ Amazon Web Services(AWS) IAM 액세스 키 AWS에 알림. ✅ ⚙ Google Cloud 서비스 계정 키, API 키, OAuth 클라이언트 시크릿 Google Cloud에 알림. ✅ ⚙ Postman API 키 Postman에 알림. Postman이 키 소유자에게 알림. ✅ ⚙ 각주 : gitlab_personal_access_token 에 대해서만 지원됩니다. 컴포넌트 범례 : ✅ - 기본으로 사용 가능 ⚙ - Token Revocation API를 사용한 수동 통합 필요 기능 가용성 # 히스토리 GitLab 15.11에서 기본이 아닌 브랜치에 대해 활성화 됨. 자격 증명은 시크릿 감지가 다음의 경우에만 후처리됩니다: 공개 프로젝트에서. 공개적으로 노출된 자격 증명은 위협이 증가하기 때문입니다. 비공개 프로젝트로의 확장은 이슈 391379 에서 검토 중입니다. 기술적인 이유로 GitLab Ultimate가 있는 프로젝트에서. 모든 티어로의 확장은 이슈 391763 에서 추적됩니다. 자동 토큰 취소 활성화 # GitLab.com에서는 자동 토큰 취소가 기본적으로 활성화되어 있으므로 별도 조치가 필요하지 않습니다. GitLab Self-Managed 및 GitLab Dedicated에서는 관리자가 secret_detection_token_revocation_enabled 를 true 로 설정하여 활성화해야 합니다. 이 설정에는 UI가 없으며 애플리케이션 설정 API 또는 Rails 콘솔 을 통해 구성해야 합니다. API Rails console 애플리케이션 설정 API 를 관리자 액세스 토큰과 함께 사용하세요. 현재 값을 확인하려면 응답에서 secret_detection_token_revocation_enabled 필드를 확인하세요: curl --header "PRIVATE-TOKEN: <your_admin_access_token>" \ --url "https://gitlab.example.com/api/v4/application/settings" 이 설정을 활성화하려면: curl --request PUT \ --header "PRIVATE-TOKEN: <your_admin_access_token>" \ --data "secret_detection_token_revocation_enabled=true" \ --url "https://gitlab.examp