4种开源云安全工具

查假如你的一般事变是开拓者、体系打点员、全栈工程师可能是网站靠得住性工程师（SRE），事变内容包罗行使 Git 从 GitHub 上推送、提交和拉取，并陈设到亚马逊 Web 处事上（AWS），安详性就是一个必要一连思量的一个点。荣幸的是，开源器材能辅佐你的团队停止犯常见错误，这些常见错误会导致你的组织丧失数千美元。

本文先容了四种开源器材，当你在 GitHub 和 AWS 长举办开拓时，这些器材能辅佐你晋升项目标安详性。同样的，本着开源的精力，我会与三位安详专家——Travis McPeak，奈飞高级云安详工程师；Rich Monk，红帽首席高级信息安详说明师；以及 Alison Naylor，红帽首席信息安详说明师——配合为本文做出孝顺。

我们已经按场景对每个器材都做了区分，可是它们并不是彼此排出的。

1、行使 gitrob 发明敏感数据

你必要发明任何呈现于你们团队的 Git 客栈中的敏感信息，以便你能将其删除。借助专注于进攻应用措施可能操纵体系的器材以行使红/蓝队模子，这样也许会更故意义，在这个模子中，一个信息安详团队会分别为两块，一个是进攻团队（又名红队），以及一个防守团队（又名蓝队）。有一个红队来实行渗出你的体系和应用要远远好于守候一个进攻者来现实进攻你。你的红队也许会实行行使 Gitrob，该器材可以克隆和爬取你的 Git 客栈，以此来探求凭据和敏感信息。

纵然像 Gitrob 这样的器材可以被用来造成粉碎，但这里的目标是让你的信息安详团队行使它来发明有时间泄漏的属于你的组织的敏感信息（好比 AWS 的密钥对可能是其他被失误提交上去的凭据）。这样，你可以修整你的客栈并破除敏感数据——但愿能赶在进攻者发明它们之前。记着不仅要修改受影响的文件，还要删除它们的汗青记录。

2、行使 git-secrets 来停止归并敏感数据

固然在你的 Git 客栈里发明并移除敏感信息很重要，但在一开始就停止归并这些敏感信息岂不是更好？纵然错误地提交了敏感信息，行使 git-secrets 可以停止你陷入果真的逆境。这款器材可以辅佐你配置钩子，以此来扫描你的提交、提交信息和归并信息，探求常见的敏感信息模式。留意你选择的模式要匹配你的团队行使的凭据，好比 AWS 会见密钥和奥机密钥。假如发明白一个匹配项，你的提交就会被拒绝，一个隐藏的危急就此获得停止。

为你已有的客栈配置 git-secrets 是很简朴的，并且你可以行使一个全局配置来掩护全部你往后要建设或克隆的客栈。你同样可以在果真你的客栈之前，行使 git-secrets 来扫描它们（包罗之前全部的汗青版本）。

3、行使 Key Conjurer 建设姑且凭据

有一点特另外保险来防备有时间果真了存储的敏感信息，这是很好的事，但我们还可以做得更好，就完全不存储任何凭据。追踪凭据，谁会见了它，存储到了那边，前次更新是什么时辰——太贫困了。然而，以编程的方法天生的姑且凭据就可以停止大量的此类题目，从而奇妙地避开了在 Git 客栈里存储敏感信息这一题目。行使 Key Conjurer，它就是为办理这一需求而被建设出来的。有关更多 Riot Games 为什么建设 Key Conjurer，以及 Riot Games 怎样开拓的 Key Conjurer，请阅读 Key Conjurer：我们最低权限的计策。

4、行使 Repokid 自动化地提供最小权限

任何一个介入过根基安详课程的人都知道，配置最小权限是基于脚色的会见节制的实现。惆怅的是，分开校门，会发明手动运用最低权限计策会变得云云艰巨。一个应用的会见需求会跟着时刻的流逝而变革，开拓职员又太忙了没时刻去手动减少他们的权限。Repokid 行使 AWS 提供提供的有关身份和会见打点（IAM）的数据来自动化地调解会见计策。Repokid 乃至可以在 AWS 中为超大型组织提供自动化地最小权限配置。

器材罢了，又不是大招

这些器材并不是什么灵丹灵药，它们只是器材！以是，在实行行使这些器材或其他的控件之前，请和你的组织里一路事变的其他人确保你们已司领略了你的云处事的行使环境和用法模式。

应该严重看待你的云处事和代码客栈处事，并认识实现的做法。

同样重要的一点是，和你的安详团队保持接洽；他们应该可觉得你团队的乐成提供设法、提媾和指南。永久记着：安详是每小我私人的责任，而不只仅是他们的。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!