問題陳述
在軟件開發生命周期中,我們需要始終處理憑證,密碼和機密。
早些時候,當我們進行應用程序開發時,我們唯一需要考慮的就是數據庫密碼管理。但是如今,隨著云的使用不斷增加,我們還需要處理各種密鑰,服務帳戶,服務主體等。
通常,我已經看到,如果開發人員沒有經驗或不夠成熟,無法理解安全方面,那么他們可能最終會在源代碼存儲庫中提交密碼,服務帳戶或任何其他機密。
如果您使用的是公共或公共托管的回購協議,或者甚至在整個組織中都可以訪問的私有回購協議,那將是災難性的。
請記住,無論您采用的技術策略有多么強大,系統的安全性僅取決于其最薄弱的環節。
現有解決方案
當前,有諸如SonarQube和SonarLint靜態代碼分析工具之類的解決方案,它們可以檢測是否有密碼或密碼短語被檢查到代碼中。
因此,這些對檢測是否已將這些內容檢入源代碼存儲庫很有用。但是大多數時候,這些分析是在代碼已經簽入后在服務器端運行的。
在SonarLint的情況下,開發人員甚至可以在檢入代碼之前在本地運行分析。但是SonarLint無法檢測是否有來自AWS,GCP等的任何服務帳戶或密鑰。
另外,SonarLint的本地驗證大部分是手動過程,不會阻止某人提交憑據,即使是本地的。
解決方案
為了克服這一挑戰,我嘗試尋找一些開源項目,并從AWS Labs找到了一個名為git-secrets的項目。
該項目運行良好,可以防止您將機密和憑證提交到特定于AWS的Git存儲庫中。
我一直在尋找一種可以擴展到google Cloud Platform(GCP)憑據的解決方案。因此,我擴展了該項目以添加對GCP的支持。
如何使用?
首先,您需要將git-secrets存儲庫克隆到本地計算機。
git clone https://github.com/deshpandetanmay/git-secrets.git cd git-secrets /
如果您使用的是Unix計算機,請運行以下命令來安裝此實用程序:
sudo make install
您可以在此處查看在windows或macOS上安裝此程序的說明。
安裝完成后,您需要轉到需要使用此實用程序的Git存儲庫。對于演示,我正在從GitHub復制另一個倉庫。
git clone https://github.com/deshpandetanmay/cdr-data-generator.git cd cdr-data-generator/
現在,要git secrets為此倉庫安裝,可以運行以下命令:
git secrets --install ? Installed commit-msg hook to .git/hooks/commit-msg ? Installed pre-commit hook to .git/hooks/pre-commit ? Installed prepare-commit-msg hook to .git/hooks/prepare-commit-msg
這將安裝可執行文件以供機密掃描,并且還將為此倉庫安裝三個掛鉤。
要安裝AWS和GCP特定檢查:
$ git secrets --register-aws $ git secrets --register-gcp
現在您已經準備就緒。為了測試一切是否按預期工作,我從GCP創建了一個服務JSON帳戶并將其復制到我的倉庫中。
現在,當我運行git commit命令時,我看到:
git commit -m "Updated config" test.json:4: "private_key_id": "d30b0f8858589d3d1294aee5b", test.json:5: "private_key": "-----BEGIN PRIVATE KEY-----<Actual Private Key>an-----END PRIVATE KEY-----n", [ERROR] Matched one or more prohibited patterns Possible mitigations: - Mark false positives as allowed using: git config --add secrets.allowed ... - Mark false positives as allowed by adding regular expressions to .gitallowed at repository's root directory - List your configured patterns: git config --get-all secrets.patterns - List your configured allowed patterns: git config --get-all secrets.allowed - List your configured allowed patterns in .gitallowed at repository's root directory - Use --no-verify if this is a one-time false positive
它告訴我,有一個名為的文件test.json,其中包含禁止的模式,這使我無法提交GCP服務帳戶。
如果將git secrets某物檢測為誤報,請運行以下命令以忽略檢查并繼續提交。
git commit -m "Updated config" --no-verify
這不僅檢測源代碼文件中的機密,而且還檢測提交消息中的機密,并阻止開發人員在提交消息中提交機密信息。
到目前為止,當前的實現僅支持AWS和GCP,我也計劃將其擴展到Azure。
結論
總之,您可以使用上述技術來防止開發人員將憑據提交到源代碼存儲庫中,并幫助確保您的應用程序安全。
