Bitbucket = Les joyaux de la couronne de votre environnement
BitbucketLe dépôt Git, comme les autres dépôts Git, est fondamental pour le développement de vos logiciels. Mais en fait, c'est bien plus que cela. Pour de nombreuses organisations, Bitbucket est la source de votre IP et de toutes les configurations essentielles au fonctionnement de votre infrastructure. Voici quelques cas d'utilisation fondamentaux :
- Contrôle des versions : Ils fournissent un système de contrôle de version robuste, permettant aux équipes de suivre les modifications, de collaborer efficacement et de revenir à des versions antérieures si nécessaire.
- Collaboration : Ils permettent à plusieurs développeurs de travailler simultanément sur le même projet, de fusionner les modifications et de résoudre les conflits.
- Examen du code : Des fonctionnalités telles que les demandes d'extraction facilitent les processus de révision du code, améliorant ainsi la qualité du code et le partage des connaissances.
- Intégration CI/CD : Ils s'intègrent parfaitement aux pipelines CI/CD, automatisant les processus de construction, de test et de déploiement.
Menaces pour votre IP, votre code source et vos configurations
Les données et les configurations stockées sur Bitbucket alimentent votre organisation. Il s'agit de stocker et de gérer votre source et la plupart de vos configurations DevOps et d'infrastructure. Par exemple, où pensez-vous que sont stockés vos fichiers YAML pour vos fonctions Lambda ? Ou vos modèles Terraform ? La perte ou la corruption de vos données sur Bitbucket peut :
- Compromettre votre IP et votre code source.
- Exiger de votre organisation qu'elle reconstruise les configurations sur l'ensemble du cycle de vie de votre infrastructure et de vos applications.
- Impact sur l'expérience des clients
- Détruire la productivité des développeurs.
Scénarios courants de perte de données Bitbucket
Vous pouvez classer ces scénarios en fonction de la perte accidentelle de données, des mauvaises configurations et, comme toujours, de la loi de Murphy.
Perte accidentelle de données. C'est de loin le scénario le plus courant et vous pouvez être certain qu'il se produira dans votre organisation. Qu'il s'agisse d'un administrateur ou d'un utilisateur, les gens font des erreurs. En voici quelques exemples :
- Suppressions accidentelles (vous pouvez toujours compter sur celle-ci)
- Écrasement
- Mauvaises configurations
Cyber-attaques ou menaces internes. Vos dépôts Git, qu'il s'agisse de Bitbucket ou de Githubsont les joyaux de la couronne de votre organisation. Cela en fait une cible lucrative pour les cybercriminels qui veulent obtenir une rançon, provoquer une fuite ou faire de l'espionnage. Voici quelques exemples récents :
- Injection de code malveillant directement dans les bibliothèques exposées
- Attaquer les dépôts Git pour voler les clés API, les mots de passe et les clés cryptographiques.
- Contributions/commissions malveillantes. L'équipe de Checkmarx Zero a révélé comment, en juillet 2023, elle a détecté des commits suspects dans plusieurs dépôts.
- Soumettre des pull requests frauduleuses
Recommandations : Garantir la sécurité, la conformité et la continuité des activités au niveau des locataires. Bitbucket
Étant donné que la plupart des organisations utilisent Bitbucket dans l'informatique en nuage, il peut être difficile de comprendre l'étendue de votre responsabilité. Atlassian Cloud, il peut être difficile de comprendre l'étendue de votre responsabilité. Dans un autre article, nous résumons l'étendue de la responsabilité entre un fournisseur (Atlassian Cloud) et le locataire (votre organisation). Voici une liste de contrôle des actions fondamentales de votre organisation lors de l'utilisation de Bitbucket ou de tout autre référentiel en nuage.
- Activer l'authentification multifactorielle (MFA) pour tous les utilisateurs et utiliser l'authentification unique (SSO)
- Mettre en œuvre des politiques de moindre privilège pour les droits d'accès.
- Limitez et contrôlez les accès/permissions, en particulier si votre organisation fait appel à des sous-traitants ou à des agences de développement tierces. Découvrez comment Atlassian Guard prévoit d'aider les organisations dans ce domaine.
- Activer les règles de protection des branches et définir les restrictions de branche.
- Évitez de stocker les clés d'API, les mots de passe et les jetons dans les systèmes d'information de l'entreprise. Bitbucket
- Examiner le processus de fusion et les contributions.
- Recherchez régulièrement des dépôts clonés.
- Automatiser les sauvegardes avec une fréquence quotidienne (au minimum)
- Conservez des copies hors site de votre référentiel, via vos sauvegardes, dans un espace de stockage immuable (ex. Amazon S3 bucket avec object-lock activé).
- Tester régulièrement la récupération des référentiels pour simuler un cyber-événement.
Pour en savoir plus sur la façon de sécuriser et de protéger vos dépôts Git, regardez cette discussion à la demande entre les chefs de produits HYCU : GitHub Sécurité : Fusionner la protection des données avec votre flux de travail DevOps
Vous souhaitez en savoir plus ?
- Pour plus de détails,inscrivez-vous à une Demo
- Améliorez vos capacités avecR-Cloud
- Découvrez le potentiel de R-Graph grâce à untest complet
Obtenir les dernières informations et mises à jour
.png){kind=small}
