在企业管理的过程中,代码版本管理也是非常重要的一环。
企业申请国高、市高都需要查看源代码。
为了让研发工作标准化、规范化,代码管理是必不可缺的。
良好的代码管理可以确保项目不受研发离职影响
……
常见的代码管理工具有SVN、Git ,对于系统平台来说,目前Gitlab属于较为主流的版本控制系统。
GitLab是利用 Ruby on Rails 一个开源的版本管理系统,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。它拥有与Github类似的功能,能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非常易于浏览提交过的版本并提供一个文件历史库。
GitLab使用过程中有哪些非技术性的风险点是需要注意的呢?
讲个故事,看完您就明白了!
故事背景:
某互联网公司,新入职来了一位运维经理,入职一周后,运维经理想了解公司Gitlab项目和项目自动构建,想要Gitlab管理员权限,经过流程审批,权限开通,运维经理因此有了Gitlab管理员权限。但是一周以后,公司某业务突然出现一些问题,新入职经理离职,在职运维疯狂“填坑”解决问题。经2周时间终于恢复故障。
几个值得思考的安全风险点:
1.员工的职业道德和信任问题:员工是否会主动泄漏代码,或不小心上传到github上,导致代码泄漏;
2.使用的笔记本是否安全:如果中病毒或木马,导致代码间接泄漏;
3. 竞争对手的潜伏:例如像电影《无间道》里面那样,对手公司派一个人入职获取Gitlab管理员权限后,再获取到Gitlab公司项目代码;
风险结果:
员工方面,新入职员工获取Gitlab管理员权限后,不论是直接还是间接原因导致公司代码泄漏,这个员工都需要承担一定责任,如果是主观破坏,此员工还要承担法律责任。
公司方面,源代码泄漏了会造成数据泄漏,不仅影响业务,还会给品牌带来影响,轻则影响企业效益,重则可能倒闭。
其实优化流程就可以从一定程度上避免
Gitlab管理员权限带来的风险
1.优化权限开通审批流程:凡涉及Gitlab管理员权限,建议需要高层授权,例如副总、技术总监等;
2.控制权限范围:针对项目相关的人可以开通权限,并针对员工设置一个观察期,比如转正后再开通,或者判断员工参与项目的深浅度进行权限分配,非紧急情况,不建议随便提供管理员权限。
3.安全审计: 周期性地针对Gitlab日志做安全审计,例如通过设定的规则进行自动化审计,每季度进行人工审计,以及采用外部第三方审计合作……
如果您的企业还没有这么做,快快传达到相关部门吧!安全无小事,注重细节,避免安全问题,亡羊补牢为时不晚!
如果大家还有其他好的建议和想法,欢迎留言!
欢迎加入运维交流QQ群:7652650(快捷运维)
