雲效codeup安全那些事兒訪問控制與資料安全

已經聊了三期和安全相關的話題，涉及安全審計和洞察、原始碼安全檢測、資料備份和恢復，今天我們來聊聊訪問控制與資料可信。

網際網路這個虛擬的世界，無數的人們在其中互動溝通，創造著海量的資料和資訊。在這個世界中，自然也存在居心叵測的惡意使用者，希望通過資訊攫取利益。因此，服務提供者通常會採取一系列訪問控制措施，對不受信任的訪問者執行隔離。

那麼什麼是訪問控制？

訪問控制，就是依據授權，對提出的資源訪問請求進行控制，防止未授權的訪問，避免未經授權的使用、洩露、銷毀和篡改。

防控住訪問許可權之後，企業還需要關心的是資料本身的安全性，包括資料提交的可信性、提交的合規性和質量，避免風險入庫，影響線上安全。

鏈結針對資料可信，雲效 codeup 提供了** gpg 簽名，拒絕未簽名的提交；支援**屬主驗證，約束提交記錄屬主。

在質量管控上，雲效 codeup 精細化讀寫許可權管控，支援**提交卡點機制，保障提交質量。

接下來我們一起看看雲效 codeup 的這些安全防護功能如何使用。

訪問控制首先是要讓危險進不來，codeup 支援對倉庫的訪問 ip 進行限制，包括頁面訪問限制和部署金鑰訪問限制。

部署金鑰訪問：完備考慮了部署金鑰由於人員管理不善被盜用的風險場景，禁止白名單之外的 ip 使用部署金鑰訪問企業**庫，加固**庫安全；

gpg 簽名可以杜絕提交偽造事件。git 雖然是密碼級安全的，但並不是萬無一失的。當使用者密碼洩露，或者有人想惡意偽造他人的提交，就有可能冒名信任的人，向你的**倉庫提交惡意**。你可以使用gpg 在本地簽署你的提交記錄（commit）或者標籤（tag）， codeup 將對這些簽名做驗證，來確保提交記錄或者標籤來自受信任的**。

在開始使用 git 進行版本管理之前，我們都知道需要先進行使用者配置。

git config --global user.name "你的名字"

git config --global user.email "你的郵箱"

也許你每天都在用，但是清楚提交記錄的作者（author）與提交者（committer）的區別嗎？

git 本身允許重寫歷史，或代表其他人提交**。通常，我們在使用 git log 檢視歷史提交記錄時，所展示的便是作者 author。我們常用 author 來作為**統計的歸屬依據。從這個角度上來說，作者 author 與**貢獻者直接掛鉤。因此，在統計**貢獻等場景下需要規範提交**屬主和服務端當前登入使用者的對應關係。

在執行 git commit 時，可以通過 --author 來指定這個提交記錄的貢獻者是誰。在開源社群也有這樣的例子，雖然我並沒有使用你的**，但我使用了你的創意，仍然以你作為作者，以示對原創的尊重。

因此簡單地理解 author 是第一作者，committer 是生成 commit 的人。codeup 支援針對 author 和 committer 對當前登入使用者已驗證的雲效主郵箱做檢查，若郵箱資訊無法匹配，可以警告或禁止其推送，以保證**貢獻屬主的準確性，避免由於無法匹配使用者導致的貢獻量計算失真。

對企業來說，提交到遠端庫通常是乙個比較嚴肅的過程，為了規範提交格式和限制許可權，codeup 支援了企業和倉庫級別的提交規則設定。

首先在提交推送規則上，支援：

另外，在提交許可權控制上，通過保護分支設定支援：

在資料安全最嚴苛的場景下，如果要求每次提交都要經過自動化檢查和人工評審，可以設定不允許任何人直接提交**，所有提交都必須通過合併請求評審後合入。

但這種情況可能會產生非常多的臨時開發分支，不太容易管理，別擔心，雲效 codeup 對基於主幹的研發模式有完備的支援，基於創新的 agit-flow （阿里巴巴集中式 git 工作流），不用新建分支，讓建立**評審就像執行 git push 命令一樣的簡單。開發者不用切換工具，將原來需要幾分鐘才能完成的**評審建立過程，縮短到幾秒鐘，是不是很酷？

雲效團隊研發的 agit-flow 是一套開放的協議，目前已被 git 官方社群合入，感興趣的話立即去試試吧：

雲效codeup安全那些事兒訪問控制與資料安全

資料倉儲上雲那些事兒

雲效codeup 團隊組織的核心組成部分

談談原始碼洩露 Web 安全那些事兒

雲效codeup安全那些事兒 訪問控制與資料安全

資料倉儲上雲那些事兒

雲效codeup 團隊組織的核心組成部分

談談原始碼洩露 Web 安全那些事兒

相關推薦

雲效codeup安全那些事兒訪問控制與資料安全