运维安全-Gitlab管理员权限安全思考

释放双眼,带上耳机,听听看~!

运维安全-Gitlab管理员权限安全思考

在企业管理的过程中,代码版本管理也是非常重要的一环。

 

企业申请国高、市高都需要查看源代码。

为了让研发工作标准化、规范化,代码管理是必不可缺的。

良好的代码管理可以确保项目不受研发离职影响

……

常见的代码管理工具有SVN、Git ,对于系统平台来说,目前Gitlab属于较为主流的版本控制系统。

GitLab是利用 Ruby on Rails 一个开源的版本管理系统,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。它拥有与Github类似的功能,能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非常易于浏览提交过的版本并提供一个文件历史库。

GitLab使用过程中有哪些非技术性的风险点是需要注意的呢?

讲个故事,看完您就明白了!

故事背景:

某互联网公司,新入职来了一位运维经理,入职一周后,运维经理想了解公司Gitlab项目和项目自动构建,想要Gitlab管理员权限,经过流程审批,权限开通,运维经理因此有了Gitlab管理员权限。但是一周以后,公司某业务突然出现一些问题,新入职经理离职,在职运维疯狂“填坑”解决问题。经2周时间终于恢复故障。

几个值得思考的安全风险点:

1.员工的职业道德和信任问题:员工是否会主动泄漏代码,或不小心上传到github上,导致代码泄漏;

2.使用的笔记本是否安全:如果中病毒或木马,导致代码间接泄漏;

3. 竞争对手的潜伏:例如像电影《无间道》里面那样,对手公司派一个人入职获取Gitlab管理员权限后,再获取到Gitlab公司项目代码;

风险结果:

员工方面,新入职员工获取Gitlab管理员权限后,不论是直接还是间接原因导致公司代码泄漏,这个员工都需要承担一定责任,如果是主观破坏,此员工还要承担法律责任。

公司方面,源代码泄漏了会造成数据泄漏,不仅影响业务,还会给品牌带来影响,轻则影响企业效益,重则可能倒闭。

其实优化流程就可以从一定程度上避免

Gitlab管理员权限带来的风险

运维安全-Gitlab管理员权限安全思考

这里分享几个方式供您参考:

1.优化权限开通审批流程:凡涉及Gitlab管理员权限,建议需要高层授权,例如副总、技术总监等;

2.控制权限范围:针对项目相关的人可以开通权限,并针对员工设置一个观察期,比如转正后再开通,或者判断员工参与项目的深浅度进行权限分配,非紧急情况,不建议随便提供管理员权限。

3.安全审计: 周期性地针对Gitlab日志做安全审计,例如通过设定的规则进行自动化审计,每季度进行人工审计,以及采用外部第三方审计合作……

如果您的企业还没有这么做,快快传达到相关部门吧!安全无小事,注重细节,避免安全问题,亡羊补牢为时不晚!

如果大家还有其他好的建议和想法,欢迎留言!

欢迎加入运维交流QQ群:7652650(快捷运维)

给TA打赏
共{{data.count}}人
人已打赏
安全运维

Nginx部署多个spring-boot项目(jar方式部署)

2021-8-18 16:36:11

安全漏洞安全运维

一张图说说运维开发架构优化

2021-9-20 13:06:55

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索