4种开源工具详细介绍

检查您的日常工作是开发人员、系统管理员、全栈工程师还是站点可靠性工程师 (SRE)，包括使用 Git 从 GitHub 推送、提交和拉取，以及部署到 Amazon Web On 服务 (AWS) ，安全是一个需要持续考虑的点。幸运的是，开源工具可以帮助您的团队避免可能导致您的组织损失数千美元的常见错误。

本文介绍了四种开源工具，可帮助您在 GitHub 和 AWS 上进行开发时提高项目的安全性。同样，本着开源精神，我将与三位安全专家合作——Netflix 的高级云安全工程师 Travis McPeak；红帽首席高级信息安全分析师 Rich Monk；和 Red Hat Teachers 的首席信息安全分析师 Alison Naylor 共同为本文撰稿。

我们按场景区分了每种工具，但它们并不相互排斥。

1、使用 gitrob 发现敏感数据

您需要发现团队的 Git 存储库中存在的任何敏感信息，以便将其删除。将红/蓝团队模型与专注于攻击应用程序或操作系统的工具一起使用可能更有意义，其中信息安全团队分为两个，一个攻击团队（又名红队）和一个防御团队（又名蓝队）。让红队试图渗透您的系统和应用程序比等待攻击者实际攻击您要好得多。您的红队可能会尝试使用 Gitrob，这是一种克隆和爬取您的 Git 存储库以搜索凭据和敏感信息的工具。

即使像 Gitrob 这样的工具可用于造成严重破坏，但此处的目的是让您的信息安全团队使用它来发现属于您的组织的不经意泄露的敏感信息（例如 AWS 密钥对或其他错误提交的文件）。这样，您可以修剪您的存储库并清理敏感数据——希望在攻击者发现它之前。记住不仅要修改受影响的文件，还要删除它们的历史记录。

2、使用 git-secrets 避免合并敏感数据

虽然在 Git 存储库中查找和删除敏感信息很重要，但首先避免合并这些敏感信息不是更好吗？即使敏感信息被错误地提交，使用 git-secrets 也可以避免陷入公共困境。此工具可帮助您设置挂钩以扫描您的提交、提交消息和合并消息以查找敏感信息的常见模式。请注意，您选择的模式与您的团队使用的凭证相匹配，例如 AWS 访问密钥和秘密密钥。如果找到匹配项，您的提交将被拒绝，避免潜在的危机。

为您现有的存储库设置 git-secrets 很容易，您可以使用全局设置来保护您将来创建或克隆的所有存储库。您还可以在公开之前使用 git-secrets 扫描您的存储库（包括所有以前的历史版本）。

3、使用 Key Conjurer 创建临时凭证

最好有一点额外的保险来防止无意中暴露存储的敏感信息，但我们可以通过完全不存储任何凭据来做得更好。跟踪凭据、访问者、存储位置、上次更新时间——这很麻烦。但是，以编程方式生成的临时凭证可以避免很多此类问题，巧妙地规避了将敏感信息存储在 Git 存储库中的问题。借助 Key Conjurer，它的创建就是为了满足这一需求。如需详细了解 Riot Games 为何创建 Key Conjurer 以及 Riot Games 如何开发 Key Conjurer，请阅读 Key Conjurer：我们的最低权限策略。

4、使用 Repokid 的自动最小权限

任何参加过基础安全课程的人都知道，设置最小权限是一种基于角色的访问控制的实现。可悲的是，离开学校大门，发现手动应用最低权限策略非常困难。应用程序的访问要求会随着时间的推移而变化，开发人员忙于手动削减权限。 Repokid 使用 AWS 提供的有关身份和访问管理 (IAM) 的数据来自动调整访问策略。 Repokid 甚至可以在 AWS 中为超大型组织提供自动最低权限设置。

只是一个工具，不是什么大动作

这些工具不是灵丹妙药，它们只是工具！因此，在尝试使用这些工具或其他控件之前，请确保您与组织中的其他人一起了解您的云服务使用情况和使用模式。

您应该认真对待您的云服务和代码存储库服务，并熟悉实施实践。

与您的安全团队保持联系也很重要；他们应该能够为您的团队的成功提供想法、建议和指导方针。永远记住：安全是每个人的责任，而不仅仅是他们的责任。

这几篇文章你可能也喜欢：

• 暂无相关推荐文章

本文由主机参考刊发，转载请注明：4种开源工具详细介绍 https://zhujicankao.com/69562.html