登陆

章鱼彩票app-4 种开源云安全东西

admin 2020-02-14 164人围观 ,发现0个评论

查找并扫除你存储在 AWS 和 GitHub 中的数据里的缝隙。

-- Alison Nay章鱼彩票app-4 种开源云安全东西章鱼彩票app-4 种开源云安全东西lor,anderson Silva(作者)

假如你的日常作业是开发者、体系办理员、全栈工程师或许是网站可靠性工程师(SRE),作业内容包含运用 Git 从 GitHub 上推送、提交和拉取,并布置到亚马逊 Web 服务上(AWS),安全性便是一个需求继续考虑的一个点。走运的是,开源东西能协助你的团队防止犯常见过错,这些常见过错会导致你的安排丢失数千美元。

本文介绍了四种开源东西,当你在 GitHub 和 AWS 上进行开发时,这些东西能协助你提高项意图安全性。相同的,本着开源的精力,我会与三位安全专家—— Travis章鱼彩票app-4 种开源云安全东西 McPeak ,奈飞高档云安全工程师; Rich Monk ,红帽首席高档信息安全分析师;以及 Alison Naylor ,红帽首席信息安全分析师——共同为本文做出奉献。

咱们现已按场景对每个东西都做了区别,可是它们并不是彼此排挤的。

1、运用 gitrob 发现灵敏数据

你需求发现任何呈现于你们团章鱼彩票app-4 种开源云安全东西队的 Git 库房中的灵敏信息,以便你能将其删去。凭借专心于进犯运用程序或许操作体系的东西以运用红/蓝队模型,这样可能会更有意义,在这个模型中,一个信息安全团队会划分为两块,一个是进犯团队(又叫红队),以及一个防卫团队(又叫蓝队)。有一个红队来测验浸透你的体系和运用要远远好于等候一个进犯者来实践进犯你。你的红队可能会测验运用 Gitrob ,该东西能够克隆和爬取你的 Git 库房,以此来寻觅凭据和灵敏信息。

即便像 Gitrob 这样的东西能够被用来形成损坏,但这儿的意图是让你的信息安全团队运用它来发现无意间走漏的归于你的安排的灵敏信息(比方 AWS 的密钥对或许是其他被失误提交上去的凭据)。这样,你能章鱼彩票app-4 种开源云安全东西够修整你的库房并铲除灵敏数据——希望能赶在进犯者发现它们之前。记住不光要修正受影响的文件,还要 删去它们的前史记录 。

2、运用 git-secrets 来防止兼并灵敏数据

尽管在你的 Git 库房里发现并移除灵敏信息很重要,但在一开始就防止兼并这些灵敏信息岂不是更好?即便过错地提交了灵敏信息,运用 git-secrets 能够防止你堕入揭露的窘境。这款东西能够协助你设置钩子,以此来扫描你的提交、提交信息和兼并信息,寻觅常见的灵敏信息形式。留意你挑选的形式要匹配你的团队运用的凭据,比方 AWS 拜访密钥和隐秘密钥。假如发现了一个匹配项,你的提交就会被回绝,一个潜在的危机就此得到防止。

为你已有的库房设置 git-secrets 是很简单的,并且你能够运用一个大局设置来维护一切你今后要创立或克隆的库房。你相同能够在揭露你的库房之前,运用 git-secrets 来扫描它们(包含之前一切的前史版别)。

3、运用 Key Conjurer 创立暂时凭据

有一点额定的稳妥来防止无意间揭露了存储的灵敏信息,这是很好的事,但咱们还能够做得更好,就彻底不存储任何凭据。追寻凭据,谁拜访了它,存储到了哪里,前次更新是什么时分——太麻烦了。但是,以编程的方法生成的暂时凭据就能够防止很多的此类问题,然后奇妙地避开了在 Git 库房里存储灵敏信息这一问题。运用 Key Conjurer ,它便是为处理这一需求而被创立出来的。有关更多 Riot Games 为什么创立 Key Conjurer,以及 Riot Games 怎么开发的 Key Conjurer,请阅览 Key Conjurer:咱们最低权限的战略 。

4、运用 Repokid 自动化地供给最小权限

任何一个参加过根本安全课程的人都知道,设置最小权限是根据人物的拜访操控的最佳完成。伤心的是,脱离校门,会发现手动运用最低权限战略会变得如此困难。一个运用的拜访需求会跟着时刻的消逝而改变,开发人员又太忙了没时刻去手动减少他们的权限。 Repokid 运用 AWS 供给供给的有关身份和拜访办理(IAM)的数据来自动化地调整拜访战略。Rep洗衣屋okid 乃至能够在 AWS 中为超大型安章鱼彩票app-4 种开源云安全东西排供给自动化地最小权限设置。

东西罢了,又不是大招

这些东西并不是什么灵丹妙药,它们仅仅东西!所以,在测验运用这些东西或其他的控件之前,请和你的安排里一同作业的其他人保证你们现已理解了你的云服务的运用情况和用法形式。

应该严厉对待你的云服务和代码库房服务,并了解最佳完成的做法。下面的文章将协助你做到这一点。

关于 AWS:

  • 办理 AWS 拜访密钥的最佳完成
  • AWS 安全审计攻略

关于 GitHub:

  • 介绍一种新方法来让你的代码坚持安全
  • GitHub 企业版最佳安全完成

相同重要的一点是,和你的安全团队坚持联系;他们应该能够为你团队的成功供给主意、建议和攻略。永久记住:安满是每个人的职责,而不仅仅是他们的。


via: https://opensource.com/article/19/9/open-source-cloud-security

作者: Alison Naylor , Anderson Silva 选题: lujun9972 译者: hopefully2333 校正: wxy

本文由 LCTT 原创编译, Linux我国 荣誉推出

点击“了解更多”可拜访文内链接

请关注微信公众号
微信二维码
不容错过
Powered By Z-BlogPHP