Поиск секретов Yandex Cloud в открытых источниках
Yandex Cloud ищет следующие типы секретов в открытых источниках:
- API-ключи.
- IAM Cookies.
- IAM-токены.
- Статические ключи доступа.
- OAuth-токен.
- Серверные ключи SmartCaptcha.
Yandex Cloud подключен к следующим программам поиска секретов:
- GitHub Secret scanning partner program.
- GitLab Secret Detection.
- Поисковый индекс Яндекс.
- Helm-чарты в Yandex Cloud Marketplace.
GitHub
Yandex Cloud подключен к secret scanning partner program, чтобы уменьшить риски пользователей от утечек секретов в публичные репозитории.
По умолчанию GitHub ищет секреты Yandex Cloud в публичных репозиториях и отправляет все подозрительные фрагменты в Yandex Cloud.
В публичных репозиториях поиск выполняется автоматически. Включить secret scanning для приватного репозитория может администратор репозитория или владелец организации.
GitLab
Стандартный список шаблонов секретов для Secret Detection включает секреты Yandex Cloud.
Чтобы включить Secret Detection для вашего проекта, следуйте инструкции.
Поисковый индекс Яндекс
Yandex Cloud по умолчанию ищет секреты на страницах, которые проиндексированы поиском Яндекс.
Helm-чарты в Yandex Cloud Marketplace
Yandex Cloud по умолчанию ищет секреты в Helm-чартах, доступных в Yandex Cloud Marketplace.
Как узнать, что секрет обнаружен
Если будет обнаружен валидный секрет, владельцу организации придет письмо c адреса технической поддержки Yandex Cloud. Письмо будет содержать часть обнаруженного секрета и адрес в интернете, где секрет был обнаружен.
Также Identity and Access Management запишет в аудитный лог событие DetectLeakedCredential.
Что делать если секрет обнаружен
Если ваш секрет попал в публичный репозиторий:
- Перевыпустите или отзовите секрет по инструкции. Удалите затронутые ресурсы при необходимости.
- Удалите секрет из репозитория и истории коммитов по инструкции для GitHub или GitLab.
Важно
Yandex Cloud не отзывает найденные секреты и не удаляет их из репозитория. Все действия над секретом выполняет только владелец секрета.
Самостоятельный поиск секретов
Вы можете использовать следующие регулярные выражения, чтобы самостоятельно проверять свои репозитории:
-
IAM Cookies
c1\.[A-Z0-9a-z_-]+[=]{0,2}\.[A-Z0-9a-z_-]{86}[=]{0,2} -
IAM-токены
t1\.[A-Z0-9a-z_-]+[=]{0,2}\.[A-Z0-9a-z_-]{86}[=]{0,2} -
API-ключи
AQVN[A-Za-z0-9_\-]{35,38} -
Статические ключи доступа
YC[a-zA-Z0-9_\-]{38} -
OAuth-токены
y[0-3]_[-_A-Za-z0-9]{55} -
Серверные ключи SmartCaptcha
ysc2_[a-zA-Z0-9]{40}[0-9a-f]{8}
Примечание
С осторожностью используйте регулярные выражения, так как со временем форматы секретов могут измениться. В документации эти изменения могут отразиться с задержкой.