在软件开发生命周期中,我们需要始终处理凭证,密码和机密。
早些时候,当我们进行应用程序开发时,我们唯一需要考虑的就是数据库密码管理。但是如今,随着云的使用不断增加,我们还需要处理各种密钥,服务帐户,服务主体等。
通常,我已经看到,如果开发人员没有经验或不够成熟,无法理解安全方面,那么他们可能最终会在源代码存储库中提交密码,服务帐户或任何其他机密。
如果您使用的是公共或公共托管的回购协议,或者甚至在整个组织中都可以访问的私有回购协议,那将是灾难性的。
请记住,无论您采用的技术策略有多么强大,系统的安全性仅取决于其最薄弱的环节。
当前,有诸如SonarQube和SonarLint静态代码分析工具之类的解决方案,它们可以检测是否有密码或密码短语被检查到代码中。
因此,这些对检测是否已将这些内容检入源代码存储库很有用。但是大多数时候,这些分析是在代码已经签入后在服务器端运行的。
在SonarLint的情况下,开发人员甚至可以在检入代码之前在本地运行分析。但是SonarLint无法检测是否有来自AWS,GCP等的任何服务帐户或密钥。
另外,SonarLint的本地验证大部分是手动过程,不会阻止某人提交凭据,即使是本地的。
为了克服这一挑战,我尝试寻找一些开源项目,并从AWS Labs找到了一个名为git-secrets的项目。
该项目运行良好,可以防止您将机密和凭证提交到特定于AWS的Git存储库中。
我一直在寻找一种可以扩展到google Cloud Platform(GCP)凭据的解决方案。因此,我扩展了该项目以添加对GCP的支持。
首先,您需要将git-secrets存储库克隆到本地计算机。
git clone https://github.com/deshpandetanmay/git-secrets.git cd git-secrets /
如果您使用的是Unix计算机,请运行以下命令来安装此实用程序:
sudo make install
您可以在此处查看在windows或macOS上安装此程序的说明。
安装完成后,您需要转到需要使用此实用程序的Git存储库。对于演示,我正在从GitHub复制另一个仓库。
git clone https://github.com/deshpandetanmay/cdr-data-generator.git cd cdr-data-generator/
现在,要git secrets为此仓库安装,可以运行以下命令:
git secrets --install ✓ Installed commit-msg hook to .git/hooks/commit-msg ✓ Installed pre-commit hook to .git/hooks/pre-commit ✓ Installed prepare-commit-msg hook to .git/hooks/prepare-commit-msg
这将安装可执行文件以供机密扫描,并且还将为此仓库安装三个挂钩。
要安装AWS和GCP特定检查:
$ git secrets --register-aws $ git secrets --register-gcp
现在您已经准备就绪。为了测试一切是否按预期工作,我从GCP创建了一个服务JSON帐户并将其复制到我的仓库中。
现在,当我运行git commit命令时,我看到:
git commit -m "Updated config" test.json:4: "private_key_id": "d30b0f8858589d3d1294aee5b", test.json:5: "private_key": "-----BEGIN PRIVATE KEY-----<Actual Private Key>an-----END PRIVATE KEY-----n", [ERROR] Matched one or more prohibited patterns Possible mitigations: - Mark false positives as allowed using: git config --add secrets.allowed ... - Mark false positives as allowed by adding regular expressions to .gitallowed at repository's root directory - List your configured patterns: git config --get-all secrets.patterns - List your configured allowed patterns: git config --get-all secrets.allowed - List your configured allowed patterns in .gitallowed at repository's root directory - Use --no-verify if this is a one-time false positive
它告诉我,有一个名为的文件test.json,其中包含禁止的模式,这使我无法提交GCP服务帐户。
如果将git secrets某物检测为误报,请运行以下命令以忽略检查并继续提交。
git commit -m "Updated config" --no-verify
这不仅检测源代码文件中的机密,而且还检测提交消息中的机密,并阻止开发人员在提交消息中提交机密信息。
到目前为止,当前的实现仅支持AWS和GCP,我也计划将其扩展到Azure。
总之,您可以使用上述技术来防止开发人员将凭据提交到源代码存储库中,并帮助确保您的应用程序安全。