問題陳述
在軟件開發(fā)生命周期中,我們需要始終處理憑證,密碼和機(jī)密。
早些時候,當(dāng)我們進(jìn)行應(yīng)用程序開發(fā)時,我們唯一需要考慮的就是數(shù)據(jù)庫密碼管理。但是如今,隨著云的使用不斷增加,我們還需要處理各種密鑰,服務(wù)帳戶,服務(wù)主體等。
通常,我已經(jīng)看到,如果開發(fā)人員沒有經(jīng)驗(yàn)或不夠成熟,無法理解安全方面,那么他們可能最終會在源代碼存儲庫中提交密碼,服務(wù)帳戶或任何其他機(jī)密。
如果您使用的是公共或公共托管的回購協(xié)議,或者甚至在整個組織中都可以訪問的私有回購協(xié)議,那將是災(zāi)難性的。
請記住,無論您采用的技術(shù)策略有多么強(qiáng)大,系統(tǒng)的安全性僅取決于其最薄弱的環(huán)節(jié)。
現(xiàn)有解決方案
當(dāng)前,有諸如SonarQube和SonarLint靜態(tài)代碼分析工具之類的解決方案,它們可以檢測是否有密碼或密碼短語被檢查到代碼中。
因此,這些對檢測是否已將這些內(nèi)容檢入源代碼存儲庫很有用。但是大多數(shù)時候,這些分析是在代碼已經(jīng)簽入后在服務(wù)器端運(yùn)行的。
在SonarLint的情況下,開發(fā)人員甚至可以在檢入代碼之前在本地運(yùn)行分析。但是SonarLint無法檢測是否有來自AWS,GCP等的任何服務(wù)帳戶或密鑰。
另外,SonarLint的本地驗(yàn)證大部分是手動過程,不會阻止某人提交憑據(jù),即使是本地的。
解決方案
為了克服這一挑戰(zhàn),我嘗試尋找一些開源項目,并從AWS Labs找到了一個名為git-secrets的項目。
該項目運(yùn)行良好,可以防止您將機(jī)密和憑證提交到特定于AWS的Git存儲庫中。
我一直在尋找一種可以擴(kuò)展到google Cloud Platform(GCP)憑據(jù)的解決方案。因此,我擴(kuò)展了該項目以添加對GCP的支持。
如何使用?
首先,您需要將git-secrets存儲庫克隆到本地計算機(jī)。
git clone https://github.com/deshpandetanmay/git-secrets.git cd git-secrets /
如果您使用的是Unix計算機(jī),請運(yùn)行以下命令來安裝此實(shí)用程序:
sudo make install
您可以在此處查看在windows或macOS上安裝此程序的說明。
安裝完成后,您需要轉(zhuǎn)到需要使用此實(shí)用程序的Git存儲庫。對于演示,我正在從GitHub復(fù)制另一個倉庫。
git clone https://github.com/deshpandetanmay/cdr-data-generator.git cd cdr-data-generator/
現(xiàn)在,要git secrets為此倉庫安裝,可以運(yùn)行以下命令:
git secrets --install ? Installed commit-msg hook to .git/hooks/commit-msg ? Installed pre-commit hook to .git/hooks/pre-commit ? Installed prepare-commit-msg hook to .git/hooks/prepare-commit-msg
這將安裝可執(zhí)行文件以供機(jī)密掃描,并且還將為此倉庫安裝三個掛鉤。
要安裝AWS和GCP特定檢查:
$ git secrets --register-aws $ git secrets --register-gcp
現(xiàn)在您已經(jīng)準(zhǔn)備就緒。為了測試一切是否按預(yù)期工作,我從GCP創(chuàng)建了一個服務(wù)JSON帳戶并將其復(fù)制到我的倉庫中。
現(xiàn)在,當(dāng)我運(yùn)行g(shù)it commit命令時,我看到:
git commit -m "Updated config" test.json:4: "private_key_id": "d30b0f8858589d3d1294aee5b", test.json:5: "private_key": "-----BEGIN PRIVATE KEY-----<Actual Private Key>an-----END PRIVATE KEY-----n", [ERROR] Matched one or more prohibited patterns Possible mitigations: - Mark false positives as allowed using: git config --add secrets.allowed ... - Mark false positives as allowed by adding regular expressions to .gitallowed at repository's root directory - List your configured patterns: git config --get-all secrets.patterns - List your configured allowed patterns: git config --get-all secrets.allowed - List your configured allowed patterns in .gitallowed at repository's root directory - Use --no-verify if this is a one-time false positive
它告訴我,有一個名為的文件test.json,其中包含禁止的模式,這使我無法提交GCP服務(wù)帳戶。
如果將git secrets某物檢測為誤報,請運(yùn)行以下命令以忽略檢查并繼續(xù)提交。
git commit -m "Updated config" --no-verify
這不僅檢測源代碼文件中的機(jī)密,而且還檢測提交消息中的機(jī)密,并阻止開發(fā)人員在提交消息中提交機(jī)密信息。
到目前為止,當(dāng)前的實(shí)現(xiàn)僅支持AWS和GCP,我也計劃將其擴(kuò)展到Azure。
結(jié)論
總之,您可以使用上述技術(shù)來防止開發(fā)人員將憑據(jù)提交到源代碼存儲庫中,并幫助確保您的應(yīng)用程序安全。