?如同世界正在經(jīng)歷的疫情，由于網(wǎng)絡(luò)攻擊的大幅增加，許多公司也遭受著“網(wǎng)絡(luò)疫情”，保障代碼安全迫在眉睫。閱讀本文，將帶您了解如何在代碼發(fā)布到 GitHub 之前最大化安全權(quán)限，及查看創(chuàng)建計(jì)劃來鎖定 GitHub 開發(fā)流程中所需的多層權(quán)限和工具。

1. 了解您的 GitHub 賬戶類型

GitHub 有三個(gè)帳戶類型，其訪問控制量不等。

• 個(gè)人帳戶：此帳戶僅允許一個(gè)所有者添加項(xiàng)目協(xié)作者。
• 組織帳戶：此帳戶類型根據(jù)團(tuán)隊(duì)結(jié)構(gòu)控制訪問權(quán)限。它允許跨多個(gè)團(tuán)隊(duì)成員進(jìn)行更詳細(xì)的訪問。
• 企業(yè)帳戶：此帳戶類型包括可跨多個(gè)組織的強(qiáng)大訪問控制。為了提高安全性，它提供了一個(gè)本地托管選項(xiàng)。此選項(xiàng)可確保 GitHub 存儲(chǔ)庫在沒有安全的企業(yè)網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)訪問下無法在互聯(lián)網(wǎng)上進(jìn)行訪問。

了解您的開發(fā)團(tuán)隊(duì)擁有哪種類型的帳戶，以便您可以充分利用所有可用的訪問權(quán)限。

2. 集中訪問管理

將訪問權(quán)限和權(quán)限集中給管理員可以簡(jiǎn)化外部協(xié)作者的管理，還可以降低GitHub訪問成本。

GitHub 服務(wù)器訪問

GitHub 為開發(fā)提供以下類型的訪問權(quán)限。根據(jù)開發(fā)人員角色設(shè)置訪問級(jí)別。

• 閱讀： 使開發(fā)人員可以查看和 Clone 代碼庫，同時(shí)不能對(duì)代碼進(jìn)行更改。
• 分類：使開發(fā)人員能夠在沒有寫入訪問權(quán)限的情況下管理拉取請(qǐng)求。
• 寫入：使開發(fā)人員能夠同時(shí)將新代碼提交到存儲(chǔ)庫。
• 維護(hù)：無需授予訪問敏感操作權(quán)限，使項(xiàng)目經(jīng)理能夠監(jiān)督代碼庫。
• 管理：使開發(fā)人員能夠完全控制代碼庫，包括保障安全性和刪除代碼庫。

避免根據(jù)需求設(shè)置訪問權(quán)限。雖然在短期內(nèi)很方便，但隨著項(xiàng)目的發(fā)展和時(shí)間的推移，項(xiàng)目中的角色和職位可能會(huì)發(fā)生變化。為了最大化訪問安全，請(qǐng)指定一個(gè)人來專門處理和授予項(xiàng)目所需的最低權(quán)限。

組織管理訪問

如果您擁有組織所有者帳戶，則可以將新用戶添加到存儲(chǔ)庫并控制其訪問級(jí)別。您需要確定組織的基本權(quán)限配置文件。當(dāng)您將新成員添加到 GitHub 存儲(chǔ)庫時(shí)，將自動(dòng)應(yīng)用基本權(quán)限。默認(rèn)情況下，為了獲得最大的安全性，請(qǐng)確?；緳?quán)限僅有讀取訪問權(quán)限。僅在需要時(shí)授予更廣泛的訪問權(quán)限。

3. 保護(hù)您的代碼庫

根據(jù)2019年發(fā)布的一項(xiàng)研究，對(duì)公共 GitHub 代碼庫的全面掃描發(fā)現(xiàn)該平臺(tái)上共有超過57萬個(gè)敏感數(shù)據(jù)實(shí)例。這些實(shí)例包括 API 密鑰、私有密鑰、OAuth ID、AWS 訪問密鑰 ID 和各種訪問 token。 這些類型暴露的主要風(fēng)險(xiǎn)包括經(jīng)濟(jì)損失、隱私泄露、數(shù)據(jù)完整性受損以及信息濫用。嘗試執(zhí)行以下做法來保護(hù)您的代碼庫。

限制代碼庫可見性

配置不當(dāng)?shù)姆?wù)器或訪問權(quán)限配置不當(dāng)?shù)拈_發(fā)人員可能會(huì)不小心更改代碼庫的可見性。要避免這種情況并確保最大安全性，請(qǐng)將代碼庫可見性更改限制為組織的所有者帳戶或項(xiàng)目的管理員級(jí)別。

實(shí)施單點(diǎn)登錄

具有 GitHub Enterprise 的組織可以使用單節(jié)點(diǎn)登錄（Single Sign-On, SSO）。借助 SSO，組織可以使用自己的帳戶和訪問權(quán)限規(guī)則，而無需開發(fā)人員使用 GitHub 帳戶。SSO 可限制潛在的人為錯(cuò)誤和密碼重用問題。

禁用分叉（fork）

通過有限的只讀訪問權(quán)限，開發(fā)人員可以使用 Fork 輕松復(fù)制整個(gè)代碼庫。代碼倉庫最初可能是私有的，但 fork 可以快速將所有內(nèi)容暴露到公共空間中。風(fēng)險(xiǎn)隨著每次 Fork 的發(fā)生呈指數(shù)級(jí)增加，通過暴露的敏感數(shù)據(jù)創(chuàng)建樹狀的安全漏洞鏈。為避免這些情況，請(qǐng)禁用 Fork 以獲得最大的安全性。

4. 驗(yàn)證訪問權(quán)限

若要確保 GitHub 帳戶和數(shù)據(jù)的安全，請(qǐng)要求和管理身份驗(yàn)證訪問。

雙重身份驗(yàn)證

雙重身份驗(yàn)證（2FA）通過在對(duì)登錄進(jìn)行身份驗(yàn)證時(shí)需要多個(gè)憑據(jù)來保障安全。為了獲得最大的安全性，GitHub 建議使用帶有使用時(shí)間限制的一次性密碼（TOTP）服務(wù)，例如 LastPass 身份驗(yàn)證器或 Microsoft 身份驗(yàn)證器。

SSH 身份驗(yàn)證

用戶設(shè)置安全系數(shù)較低的密碼或在多個(gè)服務(wù)之間共享密碼，從而產(chǎn)生安全風(fēng)險(xiǎn)。為避免此類風(fēng)險(xiǎn)，請(qǐng)使用 SSH 私有密鑰/公有密鑰對(duì)服務(wù)器上的操作進(jìn)行身份驗(yàn)證。為了提高安全性，GitHub 支持自動(dòng) SSH 密鑰過期和輪換，即使 SSH 密鑰泄露，訪問窗口也會(huì)受到限制。

個(gè)人訪問令牌

對(duì)于較小的項(xiàng)目，請(qǐng)使用個(gè)人訪問令牌。個(gè)人訪問令牌的運(yùn)作原理類似于 SSH 密鑰，但不提供自動(dòng)輪換，GitHub 帳戶所有者需要手動(dòng)設(shè)置。

5. 將訪問限制在預(yù)批準(zhǔn) IP 地址列表

將 GitHub 服務(wù)器的訪問鎖定在預(yù)先批準(zhǔn)的靜態(tài) IP 地址列表中，這種方法是最簡(jiǎn)單、最直接的安全訪問方式之一。有了IP限制，黑客在試圖訪問你的 GitHub 代碼倉庫之前，必須識(shí)別并滲透到預(yù)先批準(zhǔn)的名單上的計(jì)算機(jī)。即使你的登錄憑證被泄露，這對(duì)他們來說也是一個(gè)重大障礙。

6. 及時(shí)撤銷權(quán)限

為了保持最高的安全標(biāo)準(zhǔn)，需要細(xì)化管理訪問權(quán)限，并在項(xiàng)目開發(fā)期間定期對(duì)其進(jìn)行評(píng)估。當(dāng)員工離開項(xiàng)目或企業(yè)時(shí)，請(qǐng)及時(shí)修改或撤銷其訪問權(quán)限。此方法遵循最小特權(quán)原則，即授予執(zhí)行特定任務(wù)所需的權(quán)限。這樣做將確保每個(gè)有權(quán)訪問代碼的人都只在其權(quán)限范圍內(nèi)工作。

7. 密鑰管理解決方案

GitHub 代碼庫面臨的最大安全風(fēng)險(xiǎn)之一是開發(fā)人員的粗心大意，而不是惡意組織入侵基礎(chǔ)架構(gòu)。為最大化代碼庫的安全性，可以考慮密鑰管理解決方案。這些解決方案會(huì)自動(dòng)阻止敏感信息到達(dá) GitHub 代碼庫，并在敏感數(shù)據(jù)已泄露的情況下清理代碼庫。 多個(gè) GitHub 工具可處理不同的安全模式，例如：

• git rebase，用于刪除意外提交到代碼中的已知敏感信息的命令行工具。
• truffleHog，是一款功能強(qiáng)大的數(shù)據(jù)挖掘工具，該工具可以幫助廣大研究人員輕松從目標(biāo) Git 庫中搜索出搜索高熵字符串和敏感數(shù)據(jù)（如 API 密鑰，令牌和訪問憑據(jù)），可以根據(jù)這些信息來提升自己代碼庫的安全性。
• Git-Secret，用來加密 git 項(xiàng)目中的文件，防止 git 項(xiàng)目傳到網(wǎng)上出現(xiàn)泄密的情況。

密鑰管理解決方案需要直接集成到 CI/CD 流水線中，還必須使用 AI 和機(jī)器學(xué)習(xí)算法來進(jìn)行自動(dòng)識(shí)別和阻止，然后再將其推送到 GitHub 存儲(chǔ)庫。

若要防止機(jī)密首先暴露（即便是意外泄露），請(qǐng)實(shí)施 “Secret Vault 機(jī)密保險(xiǎn)庫” 安全策略。Secret Vault 是一個(gè)獨(dú)立的系統(tǒng)，用于存儲(chǔ)敏感信息。而 Vault 是一種用于保護(hù)高度敏感數(shù)據(jù)的工具，同時(shí)提供統(tǒng)一的訪問接口。有了 Secret Vault，可以執(zhí)行更嚴(yán)格的訪問控制和審核跟蹤，并能夠輕松檢測(cè)漏洞和違規(guī)行為。

8. 制定安全計(jì)劃保護(hù)您的代碼

在制定安全計(jì)劃時(shí)，請(qǐng)注意以下幾點(diǎn)：

• 在組織內(nèi)強(qiáng)制實(shí)施安全標(biāo)準(zhǔn)，并將所有敏感信息存儲(chǔ)在 Secret Vault 或安全密鑰存儲(chǔ)中。
• 對(duì)組織中使用的敏感信息進(jìn)行分類。了解組織可能出現(xiàn)漏洞的地方，無論是數(shù)據(jù)庫密碼、API 密鑰、token 還是管理面板的 URL。
• 最重要的是，要意識(shí)到人為錯(cuò)誤通常是安全漏洞的根源。處理安全漏洞的成本之高可能給企業(yè)或組織帶來“滅頂之災(zāi)”。

企業(yè)可以嘗試使用這些掃描工具，并將此工具集成到 CI/CD 流水線中，來有效阻止敏感信息提交到 GitHub 代碼庫。?