वेबहुक ऑडिट
Apothem वेबहुक ऑडिट — सीक्रेट रोटेशन, स्कोप-न्यूनीकरण, और Scorecard Webhooks जाँच का प्रमाण।
OpenSSF Scorecard की Webhooks जाँच यह सत्यापित करती है कि रिपॉज़िटरी वेबहुक डिलीवरी सतह को प्रमाणित करने के लिए एक साझा सीक्रेट का उपयोग करते हैं — इसके बिना, वेबहुक URL जानने वाला हमलावर इवेंट को रीप्ले या जाली बना सकता है।
Apothem की वेबहुक मुद्रा
| वेबहुक सतह | स्थिति | सीक्रेट रोटेशन ताल |
|---|---|---|
| रिपॉज़िटरी वेबहुक | रिपॉज़िटरी स्तर पर कोई कॉन्फ़िगर नहीं किया गया। | लागू नहीं |
| संगठन वेबहुक | संगठन स्तर पर कोई कॉन्फ़िगर नहीं किया गया। | लागू नहीं |
| वर्कफ़्लो इवेंट | GitHub-प्रबंधित; Webhooks जाँच के अधीन नहीं। | लागू नहीं |
Apothem वर्तमान में शून्य बाहरी वेबहुक सतहें संचालित करता है। प्रत्येक इवेंट-संचालित एकीकरण GitHub-नेटिव वर्कफ़्लो (CI, Scorecard, CodeQL, pip-audit) का उपयोग करता है, जो Scorecard Webhooks जाँच के अधीन नहीं हैं।
भविष्य का वेबहुक शासन
जब Apothem वेबहुक सतहें बढ़ाता है (उदा., Discord / Matrix रिलीज़ सूचनाएँ, डाउनस्ट्रीम-उपभोक्ता बिल्ड ट्रिगर), तो ऑपरेटर को अवश्य करना चाहिए:
- एक उच्च-एंट्रॉपी सीक्रेट उत्पन्न करें (≥ 32 बाइट, क्रिप्टोग्राफ़िक रूप से यादृच्छिक)।
- सीक्रेट को रिपॉज़िटरी की एन्क्रिप्टेड सीक्रेट्स सतह में संग्रहीत करें — कभी सोर्स में नहीं, कभी वर्कफ़्लो YAML में नहीं।
- सीक्रेट के साथ वेबहुक को कॉन्फ़िगर करें ताकि GitHub हर डिलीवरी पर
X-Hub-Signature-256हेडर पर हस्ताक्षर करे। - प्राप्तकर्ता एंडपॉइंट पर हस्ताक्षर सत्यापित करें, एक स्थिर-समय तुलना का उपयोग करते हुए।
- सीक्रेट को रोटेट करें — प्रत्येक 12 महीने में या किसी भी संदिग्ध समझौते के 24 घंटे के भीतर।
- इस ऑडिट फ़ाइल में वेबहुक को प्रलेखित करें — इसके उद्देश्य, प्राप्तकर्ता एंडपॉइंट और रोटेशन तिथि के साथ।
ऑडिट ताल
इस फ़ाइल की समीक्षा प्रत्येक /security-audit पास पर और प्रत्येक रिलीज़-इंजीनियरिंग प्री-कटओवर चेकपॉइंट पर की जाती है। ड्रिफ़्ट (उदा., यहाँ बिना किसी प्रविष्टि के पेश की गई वेबहुक सतह) एक HIGH-गंभीरता वाली खोज है।