Check如果您的日常工作是开发人员、系统管理员、全栈工程师或站点可靠性工程师(SRE),您的工作包括使用Git从GitHub推送、提交和拉取,以及部署对于亚马逊网络服务(AWS)来说,安全是一个需要持续考虑的点。幸运的是,开源工具可以帮助您的团队避免犯下可能让您的组织损失数千美元的常见错误。本文介绍了四个开源工具,它们可以帮助您在GitHub和AWS上开发时提高项目的安全性。此外,本着开源精神,我将与三位安全专家交谈——TravisMcPeak,Netflix高级云安全工程师;RichMonk,红帽首席高级信息安全分析师;红帽首席信息安全分析师AlisonNaylor。老师们——共同为这篇文章做出了贡献。我们根据场景区分了每个工具,但它们并不相互排斥。1.使用gitrob查找敏感数据您需要找到出现在您团队的Git存储库中的任何敏感信息,以便您可以将其删除。使用专注于攻击应用程序或操作系统的工具,使用红/蓝团队模型可能更有意义,其中信息安全团队分为两部分,攻击团队(又名红队)和防御团队(又名蓝队)。让红队尝试渗透您的系统和应用程序比等待攻击者实际攻击您要好得多。您的红队可能会尝试Gitrob,这是一种克隆和爬行您的Git存储库以搜索凭据和敏感信息的工具。尽管像Gitrob这样的工具可以用来造成破坏,但这里的目的是让您的信息安全团队使用它来发现属于您的组织的敏感信息的无意泄漏(例如AWS密钥对或其他错误提交的证书)。这样,您就可以修剪您的存储库并清除敏感数据——希望在攻击者发现它们之前。请记住,不仅要修改受影响的文件,还要删除它们的历史记录。2.使用git-secrets避免合并敏感数据虽然在Git存储库中查找和删除敏感信息很重要,但从一开始就避免合并敏感信息不是更好吗?即使敏感信息被错误提交,使用git-secrets也可以避免你被公开抓住。此工具可帮助您设置挂钩,以扫描您的提交、提交消息和合并消息以查找敏感信息的常见模式。请注意,您选择的架构与您的团队使用的凭证相匹配,例如AWS访问密钥和秘密密钥。如果找到匹配项,您的提交将被拒绝,并避免潜在的危机。为现有存储库设置git-secrets很容易,您可以使用全局设置来保护您将来创建或克隆的所有存储库。您还可以在公开之前使用git-secrets扫描您的存储库(包括所有以前的版本)。3.使用KeyConjurer创建临时凭据是一种额外的保险,可以防止无意中暴露存储的敏感信息,这很好,但我们可以通过根本不存储任何凭据来做得更好。跟踪凭证、访问凭证的人员、存储位置、上次更新时间——这很麻烦。但是,以编程方式生成的临时凭证可以避免很多此类问题,从而巧妙地避免在Git存储库中存储敏感信息的问题。使用专为满足此需求而创建的KeyConjurer。有关RiotGames为什么创建KeyConjurer以及RiotGames如何开发KeyConjurer的更多信息,请阅读KeyConjurer:我们的最小特权策略。4、使用Repokid自动提供最小权限上过基础安全课程的人都知道,设置最小权限是一种基于角色的访问控制的实现。离开学校发现手动应用最小权限策略如此困难是令人难过的。应用程序的访问要求会随着时间的推移而变化,开发人员太忙了,无法手动降低他们的权限。Repokid使用AWS提供的有关身份和访问管理(IAM)的数据来自动调整访问策略。Repokid甚至在AWS中为超大型组织提供自动化的最小权限设置。这只是一个工具,不是什么大动作。这些工具不是万能的,它们只是工具!因此,在尝试使用这些工具或其他控件之前,请确保您组织中与您一起工作的其他人了解您的云服务的使用情况和使用模式。认真对待您的云和存储库服务并熟悉实施实践。与您的安全团队保持联系也很重要;他们应该能够为您的团队的成功提供想法、建议和指导。永远记住:安全是每个人的责任,而不仅仅是他们的责任。
