亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

公告:魔扣目錄網(wǎng)為廣大站長提供免費(fèi)收錄網(wǎng)站服務(wù),提交前請做好本站友鏈:【 網(wǎng)站目錄:http://www.430618.com 】, 免友鏈快審服務(wù)(50元/站),

點(diǎn)擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

如何防止將秘密和憑據(jù)提交到Git存儲庫

 

問題陳述

在軟件開發(fā)生命周期中,我們需要始終處理憑證,密碼和機(jī)密。

早些時候,當(dāng)我們進(jìn)行應(yīng)用程序開發(fā)時,我們唯一需要考慮的就是數(shù)據(jù)庫密碼管理。但是如今,隨著云的使用不斷增加,我們還需要處理各種密鑰,服務(wù)帳戶,服務(wù)主體等。

通常,我已經(jīng)看到,如果開發(fā)人員沒有經(jīng)驗(yàn)或不夠成熟,無法理解安全方面,那么他們可能最終會在源代碼存儲庫中提交密碼,服務(wù)帳戶或任何其他機(jī)密。

如果您使用的是公共或公共托管的回購協(xié)議,或者甚至在整個組織中都可以訪問的私有回購協(xié)議,那將是災(zāi)難性的。

請記住,無論您采用的技術(shù)策略有多么強(qiáng)大,系統(tǒng)的安全性僅取決于其最薄弱的環(huán)節(jié)。


現(xiàn)有解決方案

當(dāng)前,有諸如SonarQube和SonarLint靜態(tài)代碼分析工具之類的解決方案,它們可以檢測是否有密碼或密碼短語被檢查到代碼中。

因此,這些對檢測是否已將這些內(nèi)容檢入源代碼存儲庫很有用。但是大多數(shù)時候,這些分析是在代碼已經(jīng)簽入后在服務(wù)器端運(yùn)行的。

在SonarLint的情況下,開發(fā)人員甚至可以在檢入代碼之前在本地運(yùn)行分析。但是SonarLint無法檢測是否有來自AWS,GCP等的任何服務(wù)帳戶或密鑰。

另外,SonarLint的本地驗(yàn)證大部分是手動過程,不會阻止某人提交憑據(jù),即使是本地的。


解決方案

為了克服這一挑戰(zhàn),我嘗試尋找一些開源項目,并從AWS Labs找到了一個名為git-secrets的項目。

該項目運(yùn)行良好,可以防止您將機(jī)密和憑證提交到特定于AWS的Git存儲庫中。

我一直在尋找一種可以擴(kuò)展到google Cloud Platform(GCP)憑據(jù)的解決方案。因此,我擴(kuò)展了該項目以添加對GCP的支持。


如何使用?

首先,您需要將git-secrets存儲庫克隆到本地計算機(jī)。

git clone https://github.com/deshpandetanmay/git-secrets.git
 cd git-secrets /

如果您使用的是Unix計算機(jī),請運(yùn)行以下命令來安裝此實(shí)用程序:

sudo make install

您可以在此處查看在windows或macOS上安裝此程序的說明。

安裝完成后,您需要轉(zhuǎn)到需要使用此實(shí)用程序的Git存儲庫。對于演示,我正在從GitHub復(fù)制另一個倉庫。

git clone https://github.com/deshpandetanmay/cdr-data-generator.git
cd cdr-data-generator/

現(xiàn)在,要git secrets為此倉庫安裝,可以運(yùn)行以下命令:

git secrets --install
? Installed commit-msg hook to .git/hooks/commit-msg
? Installed pre-commit hook to .git/hooks/pre-commit
? Installed prepare-commit-msg hook to .git/hooks/prepare-commit-msg

這將安裝可執(zhí)行文件以供機(jī)密掃描,并且還將為此倉庫安裝三個掛鉤。

要安裝AWS和GCP特定檢查:

$ git secrets --register-aws
$ git secrets --register-gcp

現(xiàn)在您已經(jīng)準(zhǔn)備就緒。為了測試一切是否按預(yù)期工作,我從GCP創(chuàng)建了一個服務(wù)JSON帳戶并將其復(fù)制到我的倉庫中。

現(xiàn)在,當(dāng)我運(yùn)行g(shù)it commit命令時,我看到:

git commit -m "Updated config"
test.json:4: "private_key_id": "d30b0f8858589d3d1294aee5b",
test.json:5: "private_key": "-----BEGIN PRIVATE KEY-----<Actual Private Key>an-----END PRIVATE KEY-----n",
[ERROR] Matched one or more prohibited patterns
Possible mitigations:
- Mark false positives as allowed using: git config --add secrets.allowed ...
- Mark false positives as allowed by adding regular expressions to .gitallowed at repository's root directory
- List your configured patterns: git config --get-all secrets.patterns
- List your configured allowed patterns: git config --get-all secrets.allowed
- List your configured allowed patterns in .gitallowed at repository's root directory
- Use --no-verify if this is a one-time false positive

它告訴我,有一個名為的文件test.json,其中包含禁止的模式,這使我無法提交GCP服務(wù)帳戶。

如果將git secrets某物檢測為誤報,請運(yùn)行以下命令以忽略檢查并繼續(xù)提交。

git commit -m "Updated config" --no-verify

這不僅檢測源代碼文件中的機(jī)密,而且還檢測提交消息中的機(jī)密,并阻止開發(fā)人員在提交消息中提交機(jī)密信息。

到目前為止,當(dāng)前的實(shí)現(xiàn)僅支持AWS和GCP,我也計劃將其擴(kuò)展到Azure。


結(jié)論

總之,您可以使用上述技術(shù)來防止開發(fā)人員將憑據(jù)提交到源代碼存儲庫中,并幫助確保您的應(yīng)用程序安全。

分享到:
標(biāo)簽:Git
用戶無頭像

網(wǎng)友整理

注冊時間:

網(wǎng)站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網(wǎng)站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網(wǎng)站吧!
最新入駐小程序

數(shù)獨(dú)大挑戰(zhàn)2018-06-03

數(shù)獨(dú)一種數(shù)學(xué)游戲,玩家需要根據(jù)9

答題星2018-06-03

您可以通過答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學(xué)四六

運(yùn)動步數(shù)有氧達(dá)人2018-06-03

記錄運(yùn)動步數(shù),積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓(xùn)練成績評定2018-06-03

通用課目體育訓(xùn)練成績評定