DOS5905: Dependabot Secret - Name should not match generic 'PASSWORD' pattern | Security KB - DevOps Shield - La plateforme DevSecOps ultime conçue pour sécuriser votre DevOps.

Ce site Web stocke des témoins sur votre ordinateur. Ces témoins servent à recueillir des renseignements sur la façon dont vous interagissez avec notre site Web et nous permettent de nous souvenir de vous. Nous utilisons ces renseignements pour améliorer et personnaliser votre expérience de navigation, ainsi que pour des analyses et des mesures concernant nos visiteurs, tant sur ce site Web que sur d’autres médias. Pour en savoir plus sur les témoins que nous utilisons, consultez notre Politique de confidentialité.

Si vous refusez, vos renseignements ne seront pas suivis lorsque vous visiterez ce site Web. Un seul témoin sera utilisé dans votre navigateur pour mémoriser votre préférence de ne pas être suivi. En cliquant sur « Tout accepter », vous acceptez le stockage de témoins sur votre appareil pour améliorer la navigation sur le site, analyser l’utilisation du site et nous aider dans nos efforts de marketing.

GitHub repository Severitymedium builtIn

Description

A Dependabot secret literally named 'PASSWORD' (or close variants like PASSWORD_1, PASSWORD_PROD) is a maintenance hazard: rotating it requires updating every dependent workflow because the name conveys no purpose. Use brand-specific names instead (NPM_REGISTRY_TOKEN, PYPI_DEPLOY_KEY, AZURE_CR_PUSH_PASSWORD). Generic password names are also a red flag for credential reuse across registries.

En savoir plus

https://docs.github.com/en/code-security/dependabot/working-with-dependabot/managing-encrypted-secrets-for-dependabot

Recommandation

1. Go to Repository or Organization Settings -> Secrets and variables -> Dependabot. 
2. Rename any secret named PASSWORD / PASSWORD_* to reflect its specific use (NPM_TOKEN, AWS_SECRET_ACCESS_KEY, etc.). 
3. Update all referencing workflows.

Règle de politique

{
  "target": "GHDependabotSecret",
  "if": {
    "allOf": [
      {
        "resource": "GHDependabotSecret",
        "property": "Name",
        "operator": "notMatch",
        "value": "^PASSWORD(_.*)?$"
      }
    ]
  },
  "then": {
    "effect": "Audit"
  }
}

« DOS5900 DOS5907 »

Détails de la règle

ID de la règle: DOS5905
Code: GH_Repository_Dependabot_Secret_Name_Should_Not_Be_Generic_Password
Plateforme: GitHub
Catégorie: repository
Sévérité: Severitymedium
Type: builtIn

DOS5905

Dependabot Secret - Name should not match generic 'PASSWORD' pattern

DOS5905

Description

Recommandation

Règle de politique

Voir la logique d'évaluation (JSON)

Détails de la règle

Règles connexes