1. <tr id="1cl0p"><track id="1cl0p"></track></tr>
      <ins id="1cl0p"><video id="1cl0p"><optgroup id="1cl0p"></optgroup></video></ins>
      <code id="1cl0p"></code>
    2. <output id="1cl0p"><track id="1cl0p"></track></output>
      <ins id="1cl0p"></ins>
        1. <tr id="1cl0p"></tr><output id="1cl0p"></output>
          歡迎來到199云計算!

          國內巨頭

          當前位置:主頁 > 云計算廠商 > 國內巨頭 > 云效安全那些事兒—訪問控制與數據安全 >

          云效安全那些事兒—訪問控制與數據安全

          時間:2021-03-20 18:01:19|欄目:國內巨頭|點擊:

          互聯網這個虛擬的世界,無數的人們在其中交互溝通,創造著海量的數據和信息。在這個世界中,自然也存在居心叵測的惡意用戶,希望通過信息攫取利益。因此,服務提供者通常會采取一系列訪問控制措施,對不受信任的訪問者執行隔離。

          那么什么是訪問控制?

          訪問控制,就是依據授權,對提出的資源訪問請求進行控制,防止未授權的訪問,避免未經授權的使用、泄露、銷毀和篡改。

          防控住訪問權限之后,企業還需要關心的是數據本身的安全性,包括數據提交的可信性、提交的合規性和質量,避免風險入庫,影響線上安全。

          鏈接針對數據可信,云效 Codeup 提供了代碼 GPG 簽名,拒絕未簽名的提交;支持代碼屬主驗證,約束提交記錄屬主。

          在質量管控上,云效 Codeup 精細化讀寫權限管控,支持代碼提交卡點機制,保障提交質量。

          接下來我們一起看看云效 Codeup 的這些安全防護功能如何使用。

          訪問控制 —— IP白名單

          訪問控制首先是要讓危險進不來,Codeup 支持對倉庫的訪問 IP 進行限制,包括頁面訪問限制和部署密鑰訪問限制。

          • 頁面訪問限制:包括 Codeup 的全部頁面訪問、部署密鑰訪問、代碼克隆、下載、提交、合并等行為一致受限;

          • 部署密鑰訪問:完備考慮了部署密鑰由于人員管理不善被盜用的風險場景,禁止白名單之外的 IP 使用部署密鑰訪問企業代碼庫,加固代碼庫安全;

          image

          訪問控制 —— 代碼不落盤

          現代企業常常需要雇傭外包團隊支持開發工作,但是由于外包流動性強,規范性相對較弱,企業通常希望能夠限制部分人員對代碼的下載權限,但是不下載代碼怎么進行開發工作呢?云效 Codeup 為這類場景提供了解決方案。

          代碼不落盤即數據不落本地磁盤,保證代碼不被意外或惡意帶走泄露,支持設置哪些角色允許下載代碼到本地,針對無法下載代碼的開發人員允許其使用云端 WebIDE 進行開發工作。

          image

          數據可信 —— GPG 簽名

          GPG 簽名可以杜絕提交偽造事件。Git 雖然是密碼級安全的,但并不是萬無一失的。當用戶密碼泄露,或者有人想惡意偽造他人的提交,就有可能冒名信任的人,向你的代碼倉庫提交惡意代碼。你可以使用GPG 在本地簽署你的提交記錄(Commit)或者標簽(Tag), Codeup 將對這些簽名做驗證,來確保提交記錄或者標簽來自受信任的來源。

          image

          數據可信 —— 提交屬主檢查

          在開始使用 git 進行版本管理之前,我們都知道需要先進行用戶配置。

          git config --global user.name "你的名字"

          git config --global user.email "你的郵箱"

          也許你每天都在用,但是清楚提交記錄的作者(Author)與提交者(Committer)的區別嗎?

          Git 本身允許重寫歷史,或代表其他人提交代碼。通常,我們在使用 git log 查看歷史提交記錄時,所展示的便是作者 Author。我們常用 Author 來作為代碼統計的歸屬依據。從這個角度上來說,作者 Author 與代碼貢獻者直接掛鉤。因此,在統計代碼貢獻等場景下需要規范提交代碼屬主和服務端當前登錄用戶的對應關系。

          在執行 git commit 時,可以通過 --author 來指定這個提交記錄的貢獻者是誰。在開源社區也有這樣的例子,雖然我并沒有使用你的代碼,但我使用了你的創意,仍然以你作為作者,以示對原創的尊重。

          因此簡單地理解 Author 是第一作者,Committer 是生成 Commit 的人。Codeup 支持針對 Author 和 Committer 對當前登錄用戶已驗證的云效主郵箱做檢查,若郵箱信息無法匹配,可以警告或禁止其推送,以保證代碼貢獻屬主的準確性,避免由于無法匹配用戶導致的貢獻量計算失真。

          image

          數據安全 —— 提交權限限制

          對企業來說,提交到遠端庫通常是一個比較嚴肅的過程,為了規范提交格式和限制權限,Codeup 支持了企業和倉庫級別的提交規則設置。

          首先在提交推送規則上,支持:

          • 提交注釋檢查:Commit Message 必須按照規定的正則格式描述,匹配時才允許推送;

          • 提交郵箱檢查:提交人(Committer)的郵箱信息需要匹配正則表達式才允許推送;

          • 禁止強制推送;

          • 代碼屬主檢查:基于提交中的作者和提交者郵箱和云效側用戶綁定主郵箱是否匹配做校驗,可以設置警告和禁止推送兩個安全級別;

          image

          另外,在提交權限控制上,通過保護分支設置支持:

          • 推送規則:可選擇允許哪類角色直接推送代碼,可控制不允許用戶直接對保護分支進行提交,而必須通過合并請求進行自動化測試和人工審核后合入提交,保證合入重要分支的內容都是可信安全的;

          • 合并規則:可設置哪類角色有權限合并代碼;

          image

          在數據安全最嚴苛的場景下,如果要求每次提交都要經過自動化檢查和人工評審,可以設置不允許任何人直接提交代碼,所有提交都必須通過合并請求評審后合入。

          但這種情況可能會產生非常多的臨時開發分支,不太容易管理,別擔心,云效 Codeup 對基于主干的研發模式有完備的支持,基于創新的 Agit-Flow (阿里巴巴集中式 Git 工作流),不用新建分支,讓創建代碼評審就像執行 git push 命令一樣的簡單。開發者不用切換工具,將原來需要幾分鐘才能完成的代碼評審創建過程,縮短到幾秒鐘,是不是很酷?

          作者:Yvonne


          阿里云云棲號


          上一篇:沒有了

          欄    目:國內巨頭

          下一篇:頭部云計算公司:徘徊在規模和盈利之間

          本文標題:云效安全那些事兒—訪問控制與數據安全

          本文地址:

          重要申明:本站所有的文章、圖片、評論等,均由網友發表或上傳并維護或收集自網絡,屬個人行為,與本站立場無關。

          如果侵犯了您的權利,請與我們聯系,我們將在24小時內進行處理、任何非本站因素導致的法律后果,本站均不負任何責任。

          COPYRIGHT ? 2009-2011,WWW.YOURNAME.COM,ALL RIGHTS RESERVED版權所有 ? 199云計算 京ICP備2021002074號-5

          sitemap feed

          看a级操逼大黄片
          1. <tr id="1cl0p"><track id="1cl0p"></track></tr>
            <ins id="1cl0p"><video id="1cl0p"><optgroup id="1cl0p"></optgroup></video></ins>
            <code id="1cl0p"></code>
          2. <output id="1cl0p"><track id="1cl0p"></track></output>
            <ins id="1cl0p"></ins>
              1. <tr id="1cl0p"></tr><output id="1cl0p"></output>