Новое Приложение GitHub для Отслеживания Конфиденциальных Данных в Коде
Совсем недавно Twilio – API-интерфейс веб-службы для автоматизации работы с SMS-сообщениями и звонками – запустили бесплатный инструмент DevOps с открытым исходным кодом, главная цель которого – предотвращать загрузку конфиденциальных данных на GitHub.
Новый инструмент был создан командой специалистов по безопасности Twilio и получил название Deadshot (да-да, как персонаж вселенной DC). Согласно их наблюдениям, в репозитории программного кода нередко без ведома разработчиков попадают конфиденциальные данные компаний и сотрудников. Например, данные учетных записей или токены. Эта информация – лакомый кусочек для хакеров. Однако отслеживать вручную всю кодовую базу организации невозможно, поэтому и был создан Deadshot.
Deadshot – это многоконтейнерное приложение Flask-Celery-Redis на основе Python. Оно устанавливается как приложение Github и запускается при каждом запросе на извлечение, созданном для основной ветки репозитория, на котором установлено приложение Github. Суть работы заключается в том, что приложение мониторит попадание конфиденциальной информации в код, а также изменения конфиденциальных функций и в случае обнаружения отправляет предупреждение разработчикам, прежде чем она будет загружена в репозиторий.
Deadshot работает в режиме реального времени и не требует повторного запуска каждый раз. При обнаружении нарушения конфиденциальности инструмент добавляет комментарий к пул-реквесту, создает тикет Jira, а также может отправить уведомление в Slack.
Доминик Кундел, штатный разработчик Twilio и адвокат бренда, написал в своем аккаунте Twitter, что команда Twilio успешно использует приложение, и оно “потрясающее”.
Кстати, в Notify.Events вы можете легко настроить отправку уведомлений в Twilio и Slack. Эти и еще более 40 мессенджеров и других средств коммуникации доступны для добавления в качестве получателей. Узнайте, как создать свой тематический канал и начать получать уведомления удобным способом уже сегодня.