Аудит вебхуков
Аудит вебхуков Apothem — ротация секретов, минимизация области и доказательства проверки Webhooks в Scorecard.
Проверка Webhooks в OpenSSF Scorecard верифицирует, что вебхуки репозитория используют общий секрет для аутентификации поверхности доставки — без него злоумышленник, узнавший URL вебхука, может воспроизводить или подделывать события.
Позиция Apothem по вебхукам
| Поверхность вебхука | Статус | Периодичность ротации секрета |
|---|---|---|
| Вебхуки репозитория | На уровне репозитория ничего не настроено. | н/д |
| Вебхуки организации | На уровне организации ничего не настроено. | н/д |
| События рабочих процессов | Управляются GitHub; не подпадают под проверку Webhooks. | н/д |
В настоящее время Apothem эксплуатирует ноль внешних поверхностей вебхуков. Каждая событийно-управляемая интеграция использует нативные рабочие процессы GitHub (CI, Scorecard, CodeQL, pip-audit), которые не подпадают под проверку Webhooks в Scorecard.
Будущее управление вебхуками
Когда Apothem обзаведётся поверхностями вебхуков (например, уведомления о выпусках Discord / Matrix, триггеры сборки для нижестоящих потребителей), оператор ОБЯЗАН:
- Сгенерировать секрет с высокой энтропией (≥ 32 байта, криптографически случайный).
- Хранить секрет в зашифрованной поверхности секретов репозитория — никогда в исходном коде, никогда в YAML рабочего процесса.
- Настроить вебхук с этим секретом, чтобы GitHub подписывал заголовок
X-Hub-Signature-256при каждой доставке. - Верифицировать подпись на принимающей конечной точке, используя сравнение за постоянное время.
- Ротировать секрет каждые 12 месяцев ИЛИ в течение 24 часов после любого подозрения на компрометацию.
- Задокументировать вебхук в этом файле аудита с указанием его назначения, принимающей конечной точки и даты ротации.
Периодичность аудита
Этот файл пересматривается при каждом проходе /security-audit и на каждой контрольной точке перед переключением в рамках инженерии выпусков. Дрейф (например, поверхность вебхука, введённая без записи здесь) является находкой серьёзности HIGH.
Ссылки
Защита веток
Защита веток Apothem на main — гейт ревью, гейтинг через проверки статуса и ограничения push.
Проверка бинарных артефактов
Проверка бинарных артефактов Apothem — ноль скомпилированных / упакованных бинарников, отслеживаемых в исходном коде. Доказательство для проверки Binary-Artifacts в OpenSSF Scorecard.