直到今天，安全行業(yè)才逐漸開始意識到開源社區(qū)已信奉多年的天條：協(xié)作才是創(chuàng)新的關(guān)鍵所在。

[[126979]]

即使你不是軟件開發(fā)人員，你也可能聽說過全球***的代碼托管服務(wù)GitHub的大名，如今有800萬用戶使用GitHub進(jìn)行社會化協(xié)作開發(fā)，事實上GitHub已經(jīng)改變了軟件開發(fā)的游戲規(guī)則，甚至非開發(fā)人員也能使用GitHub對產(chǎn)品的功能和bug進(jìn)行反饋。

但是很少有人注意到，GitHub本身的安全開發(fā)和運營實際上正在改變企業(yè)安全的游戲規(guī)則，通過GitHub安全團(tuán)隊成員Roberts的介紹，我們了解到GitHub正在從以下幾個方面改變信息安全的游戲規(guī)則：

重新定義的團(tuán)隊協(xié)作

與現(xiàn)代企業(yè)中的團(tuán)隊不同，GitHub的雇員來自全球各地。例如GitHub的安全團(tuán)隊中Scott Roberts來自俄亥俄州，負(fù)責(zé)網(wǎng)絡(luò)安全監(jiān)控、事件響應(yīng)和威脅情報，而安全團(tuán)隊的其他成員則散布在自科羅拉多、伊利諾伊和路易斯安那等州。

Roberts有一天想為事件響應(yīng)任務(wù)找一個好用的OS X審核工具，他在GitHub上查到了一個項目OSXAuditor能非常好地滿足他的需要，于是Roberts開始Fork這個項目，在發(fā)送Pull Request提交貢獻(xiàn)的同時也認(rèn)識了項目的作者@jipegit。數(shù)月后Roberts在巴黎與jipegit共進(jìn)晚餐時感慨萬千：GitHub的魅力在于，它能讓這個世界上互不認(rèn)識的人也能達(dá)成協(xié)作，甚至成為朋友。

可以說，GitHub重新定義了團(tuán)隊的邊界。而且類似GitHub的開源社區(qū)***的優(yōu)勢就是本身就是一個***的眾測環(huán)境——用戶和潛在團(tuán)隊成員的多樣化和多元化，他們會在各種古怪和極端的環(huán)境中測試你的產(chǎn)品，***限度地發(fā)掘你產(chǎn)品中可能有的各種漏洞或bug，甚至提交代碼貢獻(xiàn)。

基礎(chǔ)架構(gòu)的改變

GitHub的服務(wù)器主要運行Ubuntu，都通過Puppet管理，自動化配置是關(guān)鍵所在，這樣才能快速實現(xiàn)任何修改，尤其是安全更新和新功能發(fā)布方面。

Roberts認(rèn)為，拋開運營團(tuán)隊不談，GitHub網(wǎng)絡(luò)最牛逼的是GitHub自己開發(fā)的聊天機器人程序——Hubot，可以完成圖片查找、日志搜索等各種任務(wù)。從某種程度上，Hubot完全改變了GitHub的運營方式。GitHub的安全團(tuán)隊還在OS X桌面系統(tǒng)使用Puppet(Github開源項目Boxen)，可以管理散布于不同地理位置的筆記本電腦，方便開發(fā)者的項目協(xié)作。

安全方法與工具的改變

對于任何一個提供軟件下載的站點，人們首先會質(zhì)疑這個網(wǎng)站是作何確保軟件沒有被植入惡意程序。對于GitHub這樣的代碼托管站點，這個問題尤為突出。

GitHub采取的方法是重點保護(hù)項目的創(chuàng)建者和管理者，增加了兩步認(rèn)證等安全訪問控制手段，沒有授權(quán)訪問，惡意用戶就無法向代碼庫中注入惡意代碼或木馬程序。

對于那些突破認(rèn)證環(huán)節(jié)的例外事件，GitHub的安全團(tuán)隊會快速響應(yīng)，與項目擁有者、整個社區(qū)和支持團(tuán)隊一起分析被感染代碼，并盡快下架。

在日常工作中GitHub的安全團(tuán)隊使用的工具既有商業(yè)化的，也有開源的，甚至還包括自行開發(fā)的內(nèi)部工具。

例如GitHub的安全團(tuán)隊喜歡使用Splunk分析日志，同時也使用ELK進(jìn)行分析，數(shù)據(jù)分析方面還經(jīng)常使用Graphite。GitHub的應(yīng)用安全團(tuán)隊還經(jīng)常使用Brakeman、Burp proxy以及大量定制化的代碼和工具。事件響應(yīng)方面GitHub的安全團(tuán)隊喜歡使用Maltego進(jìn)行調(diào)查，使用Cuckoo Sanbox進(jìn)行惡意軟件分析，使用OSXCollector和Autopsy進(jìn)行取證分析，同時還在研究Google的GRR項目在遠(yuǎn)程取證方面的應(yīng)用。

未來的計劃：大量的自動化

正如GitHub中托管的不計其數(shù)的項目每天都會收到更新請求一樣，GitHub團(tuán)隊每天也會收到大量關(guān)于GitHub本身的功能更新和改進(jìn)請求，其中就有包括安全性方面的。

Roberts表示他接下來的工作重點就是將盡可能多的安全工作自動化。“我的目標(biāo)是：如果你第二次做同樣的工作是一種巧合，但第三次做重復(fù)工作的時候你就應(yīng)當(dāng)開動腦筋，看看能不能把這個任務(wù)自動化。我們用Hubot自動化了大量工作，Boxen提供了Hubber系統(tǒng)的自動化水平，而Puppet則負(fù)責(zé)服務(wù)器端的自動化。

在Roberts看來，安全團(tuán)隊的***要務(wù)是應(yīng)急響應(yīng)，為了更好地完成這個任務(wù)，就必須確保不被一些相對簡單的事情牽扯過多精力。

原文地址：http://www.aqniu.com/neotech/secured-development/6445.html