您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

如何防止将秘密和凭据提交到Git存储库

时间:2019-10-18 14:35:29  来源:  作者:
如何防止将秘密和凭据提交到Git存储库

 

问题陈述

在软件开发生命周期中,我们需要始终处理凭证,密码和机密。

早些时候,当我们进行应用程序开发时,我们唯一需要考虑的就是数据库密码管理。但是如今,随着云的使用不断增加,我们还需要处理各种密钥,服务帐户,服务主体等。

通常,我已经看到,如果开发人员没有经验或不够成熟,无法理解安全方面,那么他们可能最终会在源代码存储库中提交密码,服务帐户或任何其他机密。

如果您使用的是公共或公共托管的回购协议,或者甚至在整个组织中都可以访问的私有回购协议,那将是灾难性的。

请记住,无论您采用的技术策略有多么强大,系统的安全性仅取决于其最薄弱的环节。


现有解决方案

当前,有诸如SonarQube和SonarLint静态代码分析工具之类的解决方案,它们可以检测是否有密码或密码短语被检查到代码中。

因此,这些对检测是否已将这些内容检入源代码存储库很有用。但是大多数时候,这些分析是在代码已经签入后在服务器端运行的。

在SonarLint的情况下,开发人员甚至可以在检入代码之前在本地运行分析。但是SonarLint无法检测是否有来自AWS,GCP等的任何服务帐户或密钥。

另外,SonarLint的本地验证大部分是手动过程,不会阻止某人提交凭据,即使是本地的。


解决方案

为了克服这一挑战,我尝试寻找一些开源项目,并从AWS Labs找到了一个名为git-secrets的项目。

该项目运行良好,可以防止您将机密和凭证提交到特定于AWS的Git存储库中。

我一直在寻找一种可以扩展到google Cloud Platform(GCP)凭据的解决方案。因此,我扩展了该项目以添加对GCP的支持。


如何使用?

首先,您需要将git-secrets存储库克隆到本地计算机。

git clone https://github.com/deshpandetanmay/git-secrets.git
 cd git-secrets /

如果您使用的是Unix计算机,请运行以下命令来安装此实用程序:

sudo make install

您可以在此处查看在windowsmacOS上安装此程序的说明。

安装完成后,您需要转到需要使用此实用程序的Git存储库。对于演示,我正在从GitHub复制另一个仓库。

git clone https://github.com/deshpandetanmay/cdr-data-generator.git
cd cdr-data-generator/

现在,要git secrets为此仓库安装,可以运行以下命令:

git secrets --install
✓ Installed commit-msg hook to .git/hooks/commit-msg
✓ Installed pre-commit hook to .git/hooks/pre-commit
✓ Installed prepare-commit-msg hook to .git/hooks/prepare-commit-msg

这将安装可执行文件以供机密扫描,并且还将为此仓库安装三个挂钩。

要安装AWS和GCP特定检查:

$ git secrets --register-aws
$ git secrets --register-gcp

现在您已经准备就绪。为了测试一切是否按预期工作,我从GCP创建了一个服务JSON帐户并将其复制到我的仓库中。

现在,当我运行git commit命令时,我看到:

git commit -m "Updated config"
test.json:4: "private_key_id": "d30b0f8858589d3d1294aee5b",
test.json:5: "private_key": "-----BEGIN PRIVATE KEY-----<Actual Private Key>an-----END PRIVATE KEY-----n",
[ERROR] Matched one or more prohibited patterns
Possible mitigations:
- Mark false positives as allowed using: git config --add secrets.allowed ...
- Mark false positives as allowed by adding regular expressions to .gitallowed at repository's root directory
- List your configured patterns: git config --get-all secrets.patterns
- List your configured allowed patterns: git config --get-all secrets.allowed
- List your configured allowed patterns in .gitallowed at repository's root directory
- Use --no-verify if this is a one-time false positive

它告诉我,有一个名为的文件test.json,其中包含禁止的模式,这使我无法提交GCP服务帐户。

如果将git secrets某物检测为误报,请运行以下命令以忽略检查并继续提交。

git commit -m "Updated config" --no-verify

这不仅检测源代码文件中的机密,而且还检测提交消息中的机密,并阻止开发人员在提交消息中提交机密信息。

到目前为止,当前的实现仅支持AWS和GCP,我也计划将其扩展到Azure。


结论

总之,您可以使用上述技术来防止开发人员将凭据提交到源代码存储库中,并帮助确保您的应用程序安全。



Tags:Git存储库   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
问题陈述在软件开发生命周期中,我们需要始终处理凭证,密码和机密。早些时候,当我们进行应用程序开发时,我们唯一需要考虑的就是数据库密码管理。但是如今,随着云的使用不断增加,...【详细内容】
2019-10-18  Tags: Git存储库  点击:(385)  评论:(0)  加入收藏
▌简易百科推荐
本文分为三个等级自顶向下地分析了glibc中内存分配与回收的过程。本文不过度关注细节,因此只是分别从arena层次、bin层次、chunk层次进行图解,而不涉及有关指针的具体操作。前...【详细内容】
2021-12-28  linux技术栈    Tags:glibc   点击:(3)  评论:(0)  加入收藏
摘 要 (OF作品展示)OF之前介绍了用python实现数据可视化、数据分析及一些小项目,但基本都是后端的知识。想要做一个好看的可视化大屏,我们还要学一些前端的知识(vue),网上有很多比...【详细内容】
2021-12-27  项目与数据管理    Tags:Vue   点击:(2)  评论:(0)  加入收藏
程序是如何被执行的&emsp;&emsp;程序是如何被执行的?许多开发者可能也没法回答这个问题,大多数人更注重的是如何编写程序,却不会太注意编写好的程序是如何被运行,这并不是一个好...【详细内容】
2021-12-23  IT学习日记    Tags:程序   点击:(9)  评论:(0)  加入收藏
阅读收获✔️1. 了解单点登录实现原理✔️2. 掌握快速使用xxl-sso接入单点登录功能一、早期的多系统登录解决方案 单系统登录解决方案的核心是cookie,cookie携带会话id在浏览器...【详细内容】
2021-12-23  程序yuan    Tags:单点登录(   点击:(8)  评论:(0)  加入收藏
下载Eclipse RCP IDE如果你电脑上还没有安装Eclipse,那么请到这里下载对应版本的软件进行安装。具体的安装步骤就不在这赘述了。创建第一个标准Eclipse RCP应用(总共分为六步)1...【详细内容】
2021-12-22  阿福ChrisYuan    Tags:RCP应用   点击:(7)  评论:(0)  加入收藏
今天想简单聊一聊 Token 的 Value Capture,就是币的价值问题。首先说明啊,这个话题包含的内容非常之光,Token 的经济学设计也可以包含诸多问题,所以几乎不可能把这个问题说的清...【详细内容】
2021-12-21  唐少华TSH    Tags:Token   点击:(10)  评论:(0)  加入收藏
实现效果:假如有10条数据,分组展示,默认在当前页面展示4个,点击换一批,从第5个开始继续展示,到最后一组,再重新返回到第一组 data() { return { qList: [], //处理后...【详细内容】
2021-12-17  Mason程    Tags:VUE   点击:(14)  评论:(0)  加入收藏
什么是性能调优?(what) 为什么需要性能调优?(why) 什么时候需要性能调优?(when) 什么地方需要性能调优?(where) 什么时候来进行性能调优?(who) 怎么样进行性能调优?(How) 硬件配...【详细内容】
2021-12-16  软件测试小p    Tags:性能调优   点击:(20)  评论:(0)  加入收藏
Tasker 是一款适用于 Android 设备的高级自动化应用,它可以通过脚本让重复性的操作自动运行,提高效率。 不知道从哪里听说的抖音 app 会导致 OLED 屏幕烧屏。于是就现学现卖,自...【详细内容】
2021-12-15  ITBang    Tags:抖音防烧屏   点击:(25)  评论:(0)  加入收藏
11 月 23 日,Rust Moderation Team(审核团队)在 GitHub 上发布了辞职公告,即刻生效。根据公告,审核团队集体辞职是为了抗议 Rust 核心团队(Core team)在执行社区行为准则和标准上...【详细内容】
2021-12-15  InfoQ    Tags:Rust   点击:(25)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条