DOS4400: Dependabot Secret - Visibility should not be 'all' | Security KB - DevOps Shield - La plateforme DevSecOps ultime conçue pour sécuriser votre DevOps.

Ce site Web stocke des témoins sur votre ordinateur. Ces témoins servent à recueillir des renseignements sur la façon dont vous interagissez avec notre site Web et nous permettent de nous souvenir de vous. Nous utilisons ces renseignements pour améliorer et personnaliser votre expérience de navigation, ainsi que pour des analyses et des mesures concernant nos visiteurs, tant sur ce site Web que sur d’autres médias. Pour en savoir plus sur les témoins que nous utilisons, consultez notre Politique de confidentialité.

Si vous refusez, vos renseignements ne seront pas suivis lorsque vous visiterez ce site Web. Un seul témoin sera utilisé dans votre navigateur pour mémoriser votre préférence de ne pas être suivi. En cliquant sur « Tout accepter », vous acceptez le stockage de témoins sur votre appareil pour améliorer la navigation sur le site, analyser l’utilisation du site et nous aider dans nos efforts de marketing.

GitHub organization Severityhigh builtIn

Description

Org-level Dependabot secrets with visibility 'all' are exposed to every repository in the organization, including newly-created ones. This violates least-privilege: Dependabot secrets are typically registry credentials (npm, PyPI, container registries) and should be scoped to the repos that genuinely need them via 'selected' visibility. The 'private' visibility (private repos only) is acceptable when ALL private repos legitimately consume the secret.

En savoir plus

https://docs.github.com/en/code-security/dependabot/working-with-dependabot/configuring-access-to-private-registries-for-dependabot

Recommandation

1. Go to Organization Settings -> Secrets and variables -> Dependabot. 
2. For each secret with visibility 'All repositories', change to 'Private repositories' or 'Selected repositories' and pick only the repos that need access.

Règle de politique

{
  "target": "GHDependabotSecret",
  "if": {
    "allOf": [
      {
        "resource": "GHDependabotSecret",
        "property": "Visibility",
        "operator": "notEquals",
        "value": "all"
      }
    ]
  },
  "then": {
    "effect": "Audit"
  }
}

« DOS4381 DOS4410 »

Détails de la règle

ID de la règle: DOS4400
Code: GH_Organization_Dependabot_Secret_Visibility_Should_Not_Be_All
Plateforme: GitHub
Catégorie: organization
Sévérité: Severityhigh
Type: builtIn

DOS4400

Dependabot Secret - Visibility should not be 'all'

DOS4400

Description

Recommandation

Règle de politique

Voir la logique d'évaluation (JSON)

Détails de la règle

Règles connexes