日前,著名云身分安全可靠服务供应商Okta正式披露其专有GitHub存储库遭到黑客反击,部份源码遭外泄。虽然Okta公司表示,此次外泄该事件不会导致其客户的个人隐私信息安全可靠,Okta有充份的管理手段来为保护采用者服务安全可靠。但安全可靠研究人员认为,源码外泄导致隐身危害性在短时期狮属难以准确评估结果。
GitHub拥有9000万活跃采用者,是现阶段全球最畅销的源码管理辅助工具。由于它是信息管理系统下层基础建设的重要部份,因此长久以来受到违法反击犯罪团伙的重点高度关注。此次Okta源码外泄该事件,只是近几年针对GitHub标识符库违法出访反击中的最新事例。Dropbox、Gentoo Linux和谷歌的GitHub帐户之前也都遭遇过类似的反击。
b中的硬代码公钥、公钥及其他凭证,从而出访代销在AWS、Azure或GCP中的云服务和资料库。
Okta的GitHub标识符库被侵略是一个经验教训真切的范例,表明了为保护民营企业内部的出访安全可靠到底有假使,但这并不是独特的事例。虽然GitHub提供了许多为保护标识符管理库应用领域安全可靠的防雷辅助工具,但很多民营企业组织机构并不充份知道如何采用辅助工具。而且惋惜的是,许多最重要的安全可靠功能须要附加订阅才能够采用。
不过,以下八个成功经验被证明可以提高GitHub的安全可靠性,对现阶段正在应用领域GitHub的民营企业组织机构能尽早高度关注并试著应用领域。
1.不要将商业机构帐户用作组织工作
对开发者,商业机构GitHub帐户是其个人品牌履历表的一部份,可帮助其生涯的晋升为和成长。惋惜的是,这也是如今采用GitHub的组织机构面临的最大安全漏洞之一:它们对商业机构帐户用作组织工作往往没有严管。从标识符安全可靠的视角,商业机构GitHub帐户不如果用作组织工作,虽然这么做会带来许多便捷性,但民营企业根本没有办法有效控制谁能出访建立商业机构GitHub帐户的商业机构Gmail门牌号。
2.透过sizes登入展开加密
在GitHub现有的业务模式中,采用者须要为软件系统sizes登入(SSO)服务支付附加的费用。但是从标识符出访安全的视角,民营企业如果将GitHub相连到组织机构的SSO系统中,比如Okta、Azure AD或Google Workspace。开发者的身分信息如果和民营企业展开瞄准,只允许透过统一的SSO展开加密。
3.所有帐户都采用2FA
在很多民营企业的SSO提供程序中,会设有豁免组和策略异常处置,这能使SSO MFA被反击者轻松绕过。因此,当民营企业透过SSO执行统一的加密时,最安全可靠的选择是对组织机构中的所有GitHub采用者都要强制执行多因素加密2FA,防止绕过行为的发生。
4.采用SSH公钥用作git操作
虽然GitHub透过个人出访令牌(PAT)引入了细粒度权限控制,但它们仍然容易遭到网络钓鱼的反击,因为这些令牌常常以明文形式存储。如果采用SSH公钥对git操作展开加密,民营企业须要采用完善的PKI来管理如何配置和提供SSH公钥,还能将其与民营企业的设备管理和CA证书有效联系起来。
5.采用角色限制特权出访
GitHub现阶段提供了几种不同的标识符库角色,能基于最小权限原则展开分配。基本权限能在组织机构层面加以控制。在实际采用中,管理者须要合理分配保障成员高效组织工作所需的最小权限角色,尽量避免让开发者拥有高等级的管理员权限。
6.严格限制外部合作者采用
与第三方供应商合作是管理大型软件项目的一个常态。然而,现阶段GitHub所能提供的外部合作者管理能力存在较大不足,难以确保民营企业的开发活动安全可靠。因此,须要强制要求外部合作者透过公司的SSO展开加密,杜绝标识符库管理员直接邀请他们出访标识符库的情况发生。
7.审核,分析,再审核
没有一家民营企业的安全可靠控制策略和措施是完美的,即使制定了再好的GitHub应用领域安全可靠策略,帐户也会出现安全可靠疏漏,错误也会在所难免。因此,民营企业在应用领域GitHub过程中,要花时间实施定期审计流程,以寻找不安全可靠的休眠帐户,并限制标识符库中特权角色的数量。一旦民营企业的GitHub环境被严格为保护后,应注意及时发现那些违反策略的情况,比如采用者仍然在SSO之外展开加密,或者没有采用2FA。
参考链接:
https://www.darkreading.com/edge-articles/why-attackers-target-github-and-how-you-can-secure-it
