Skip to content
Apothem
सुरक्षा

वेबहुक ऑडिट

Apothem वेबहुक ऑडिट — सीक्रेट रोटेशन, स्कोप-न्यूनीकरण, और Scorecard Webhooks जाँच का प्रमाण।

OpenSSF Scorecard की Webhooks जाँच यह सत्यापित करती है कि रिपॉज़िटरी वेबहुक डिलीवरी सतह को प्रमाणित करने के लिए एक साझा सीक्रेट का उपयोग करते हैं — इसके बिना, वेबहुक URL जानने वाला हमलावर इवेंट को रीप्ले या जाली बना सकता है।

Apothem की वेबहुक मुद्रा

वेबहुक सतहस्थितिसीक्रेट रोटेशन ताल
रिपॉज़िटरी वेबहुकरिपॉज़िटरी स्तर पर कोई कॉन्फ़िगर नहीं किया गया।लागू नहीं
संगठन वेबहुकसंगठन स्तर पर कोई कॉन्फ़िगर नहीं किया गया।लागू नहीं
वर्कफ़्लो इवेंटGitHub-प्रबंधित; Webhooks जाँच के अधीन नहीं।लागू नहीं

Apothem वर्तमान में शून्य बाहरी वेबहुक सतहें संचालित करता है। प्रत्येक इवेंट-संचालित एकीकरण GitHub-नेटिव वर्कफ़्लो (CI, Scorecard, CodeQL, pip-audit) का उपयोग करता है, जो Scorecard Webhooks जाँच के अधीन नहीं हैं।

भविष्य का वेबहुक शासन

जब Apothem वेबहुक सतहें बढ़ाता है (उदा., Discord / Matrix रिलीज़ सूचनाएँ, डाउनस्ट्रीम-उपभोक्ता बिल्ड ट्रिगर), तो ऑपरेटर को अवश्य करना चाहिए:

  1. एक उच्च-एंट्रॉपी सीक्रेट उत्पन्न करें (≥ 32 बाइट, क्रिप्टोग्राफ़िक रूप से यादृच्छिक)।
  2. सीक्रेट को रिपॉज़िटरी की एन्क्रिप्टेड सीक्रेट्स सतह में संग्रहीत करें — कभी सोर्स में नहीं, कभी वर्कफ़्लो YAML में नहीं।
  3. सीक्रेट के साथ वेबहुक को कॉन्फ़िगर करें ताकि GitHub हर डिलीवरी पर X-Hub-Signature-256 हेडर पर हस्ताक्षर करे।
  4. प्राप्तकर्ता एंडपॉइंट पर हस्ताक्षर सत्यापित करें, एक स्थिर-समय तुलना का उपयोग करते हुए।
  5. सीक्रेट को रोटेट करें — प्रत्येक 12 महीने में या किसी भी संदिग्ध समझौते के 24 घंटे के भीतर।
  6. इस ऑडिट फ़ाइल में वेबहुक को प्रलेखित करें — इसके उद्देश्य, प्राप्तकर्ता एंडपॉइंट और रोटेशन तिथि के साथ।

ऑडिट ताल

इस फ़ाइल की समीक्षा प्रत्येक /security-audit पास पर और प्रत्येक रिलीज़-इंजीनियरिंग प्री-कटओवर चेकपॉइंट पर की जाती है। ड्रिफ़्ट (उदा., यहाँ बिना किसी प्रविष्टि के पेश की गई वेबहुक सतह) एक HIGH-गंभीरता वाली खोज है।

संदर्भ

On this page