如何保护你的秘密与光谱和JFrog管道

成千上万的秘密每天泄漏在公共git存储库中，包括over到2020年将有200万个企业机密一个人。

这可能发生在任何人身上!例如，在2021年1月，亚马逊的一名云工程师意外犯下了几乎1千兆字节的敏感数据其中包括他们自己的个人文档，以及他个人GitHub存储库中各种AWS环境的密码和加密密钥。

另一个例子是SolarWinds违反，其中之一史上最大的数据泄露事件一开始，GitHub公共服务器上暴露了一个选择不当的密码。

当我们在开发一个应用程序时，我们希望尽我们所能来保护我们的数据和代码。我们是人，人(通常)会犯错误，当这一点与缺乏安全最佳实践教育相结合时，我们很容易暴露我们的秘密。因此，我们可能希望使用秘密扫描器来搜索任何敏感信息，如私钥、API秘密和令牌等。

光谱(又名SpectralOps)提供秘密扫描解决方案，可以轻松集成JFrog管道。它通过查看文件名、扩展名和内容，并尝试将它们与签名列表进行匹配来实现这一点。spectrum可以以一种简单的方式监控、分类和保护您的代码、资产和基础设施，以应对暴露的API密钥、令牌、凭证和高风险的安全错误配置。

这篇博文将介绍如何做到这一点的3个步骤。

步骤1:在SpectralOps中配置DSN

首先，我们需要在SpectralOps平台的JFrog Pipelines中配置DSN。

• 点击来源然后选择私人和公共存储库。
  
• 复制SPECTRAL_DSN并保存以备以后使用。它应该是这样的:

  https:// <团队关键> @get.spectralops.io

• 在JFrog平台中，转到政府>管道>集成并点击添加集成。
• 选择Generic Integration并添加上面保存的SPECTRAL_DSN。
  

步骤2:运行构建

2022世界杯阿根廷预选赛赛程资源:-名称:myScannedRepo类型:GitRepo配置:#您的JFrog集成与Github gitProvider: "integration_name" # Github存储库路径:"org-name/repository-name"分支:包括:主要管道:-名称:spectrum步骤:-名称:SpectralScan类型:Bash配置:集成:-名称:spectraldsn inputResources: -名称:myScannedRepo执行:onExecute: - cd dependencyState/resources/myScannedRepo - curl - l "https://get.spectralops.io/latest/x/sh?dsn=$int_spectraldsn_SPECTRAL_DSN" | sh - $HOME/。-dsn $int_spectraldsn_SPECTRAL_DSN

如果发现任何秘密，spectrum集成将使您的构建失败。

*请注意:如果您不希望构建失败，请使用该标志扫描-哦。例如:$ HOME /。$int_spectraldsn_SPECTRAL_DSN scan -ok

步骤3:回顾问题

现在我们可以在SpectralOps平台的code选项卡下获得有关问题的更多信息。

现在我们可以放心了，我们的秘密是安全的，git存储库中没有泄漏。

看看JFrog pipeline支持其他集成,你自己试试吧!