Audit webhook
Audit webhook Apothem — rotasi rahasia, minimalisasi lingkup, dan bukti pemeriksaan Webhooks Scorecard.
Pemeriksaan Webhooks OpenSSF Scorecard memverifikasi bahwa webhook repositori menggunakan rahasia bersama untuk mengautentikasi permukaan pengiriman — tanpanya, penyerang yang mengetahui URL webhook dapat memutar ulang atau memalsukan peristiwa.
Postur webhook Apothem
| Permukaan webhook | Status | Irama rotasi rahasia |
|---|---|---|
| Webhook repositori | Tidak ada yang dikonfigurasi di tingkat repositori. | t/a |
| Webhook organisasi | Tidak ada yang dikonfigurasi di tingkat organisasi. | t/a |
| Peristiwa alur kerja | Dikelola GitHub; tidak tunduk pada pemeriksaan Webhooks. | t/a |
Apothem saat ini mengoperasikan nol permukaan webhook eksternal. Setiap integrasi berbasis peristiwa menggunakan alur kerja asli GitHub (CI, Scorecard, CodeQL, pip-audit) yang tidak tunduk pada pemeriksaan Webhooks Scorecard.
Tata kelola webhook ke depan
Ketika Apothem menumbuhkan permukaan webhook (mis., notifikasi rilis Discord / Matrix, pemicu build konsumen hilir), operator HARUS:
- Membuat rahasia berentropi tinggi (≥ 32 byte, acak secara kriptografis).
- Menyimpan rahasia di permukaan rahasia terenkripsi repositori — tidak pernah di sumber, tidak pernah di YAML alur kerja.
- Mengonfigurasi webhook dengan rahasia tersebut agar GitHub menandatangani header
X-Hub-Signature-256pada setiap pengiriman. - Memverifikasi tanda tangan di endpoint penerima menggunakan perbandingan waktu-konstan.
- Merotasi rahasia setiap 12 bulan ATAU dalam 24 jam setelah dugaan kompromi apa pun.
- Mendokumentasikan webhook dalam berkas audit ini beserta tujuannya, endpoint penerima, dan tanggal rotasinya.
Irama audit
Berkas ini ditinjau pada setiap pass /security-audit dan pada setiap titik pemeriksaan pra-cutover rekayasa rilis. Penyimpangan (mis., permukaan webhook yang diperkenalkan tanpa entri di sini) merupakan temuan severitas HIGH.
Referensi
Proteksi branch
Proteksi branch Apothem pada main — gerbang tinjauan, gating melalui pemeriksaan status, dan pembatasan push.
Penyapuan artefak biner
Penyapuan artefak biner Apothem — nol biner terkompilasi / terpaket yang dilacak di kode sumber. Bukti untuk pemeriksaan Binary-Artifacts OpenSSF Scorecard.