?如同世界正在經歷的疫情，由于網絡攻擊的大幅增加，許多公司也遭受著“網絡疫情”，保障代碼安全迫在眉睫。閱讀本文，將帶您了解如何在代碼發布到 GitHub 之前最大化安全權限，及查看創建計劃來鎖定 GitHub 開發流程中所需的多層權限和工具。

1. 了解您的 GitHub 賬戶類型

GitHub 有三個帳戶類型，其訪問控制量不等。

• 個人帳戶：此帳戶僅允許一個所有者添加項目協作者。
• 組織帳戶：此帳戶類型根據團隊結構控制訪問權限。它允許跨多個團隊成員進行更詳細的訪問。
• 企業帳戶：此帳戶類型包括可跨多個組織的強大訪問控制。為了提高安全性，它提供了一個本地托管選項。此選項可確保 GitHub 存儲庫在沒有安全的企業網絡虛擬專用網絡訪問下無法在互聯網上進行訪問。

了解您的開發團隊擁有哪種類型的帳戶，以便您可以充分利用所有可用的訪問權限。

2. 集中訪問管理

將訪問權限和權限集中給管理員可以簡化外部協作者的管理，還可以降低GitHub訪問成本。

GitHub 服務器訪問

GitHub 為開發提供以下類型的訪問權限。根據開發人員角色設置訪問級別。

• 閱讀： 使開發人員可以查看和 Clone 代碼庫，同時不能對代碼進行更改。
• 分類：使開發人員能夠在沒有寫入訪問權限的情況下管理拉取請求。
• 寫入：使開發人員能夠同時將新代碼提交到存儲庫。
• 維護：無需授予訪問敏感操作權限，使項目經理能夠監督代碼庫。
• 管理：使開發人員能夠完全控制代碼庫，包括保障安全性和刪除代碼庫。

避免根據需求設置訪問權限。雖然在短期內很方便，但隨著項目的發展和時間的推移，項目中的角色和職位可能會發生變化。為了最大化訪問安全，請指定一個人來專門處理和授予項目所需的最低權限。

組織管理訪問

如果您擁有組織所有者帳戶，則可以將新用戶添加到存儲庫并控制其訪問級別。您需要確定組織的基本權限配置文件。當您將新成員添加到 GitHub 存儲庫時，將自動應用基本權限。默認情況下，為了獲得最大的安全性，請確保基本權限僅有讀取訪問權限。僅在需要時授予更廣泛的訪問權限。

3. 保護您的代碼庫

根據2019年發布的一項研究，對公共 GitHub 代碼庫的全面掃描發現該平臺上共有超過57萬個敏感數據實例。這些實例包括 API 密鑰、私有密鑰、OAuth ID、AWS 訪問密鑰 ID 和各種訪問 token。 這些類型暴露的主要風險包括經濟損失、隱私泄露、數據完整性受損以及信息濫用。嘗試執行以下做法來保護您的代碼庫。

限制代碼庫可見性

配置不當的服務器或訪問權限配置不當的開發人員可能會不小心更改代碼庫的可見性。要避免這種情況并確保最大安全性，請將代碼庫可見性更改限制為組織的所有者帳戶或項目的管理員級別。

實施單點登錄

具有 GitHub Enterprise 的組織可以使用單節點登錄（Single Sign-On, SSO）。借助 SSO，組織可以使用自己的帳戶和訪問權限規則，而無需開發人員使用 GitHub 帳戶。SSO 可限制潛在的人為錯誤和密碼重用問題。

禁用分叉（fork）

通過有限的只讀訪問權限，開發人員可以使用 Fork 輕松復制整個代碼庫。代碼倉庫最初可能是私有的，但 fork 可以快速將所有內容暴露到公共空間中。風險隨著每次 Fork 的發生呈指數級增加，通過暴露的敏感數據創建樹狀的安全漏洞鏈。為避免這些情況，請禁用 Fork 以獲得最大的安全性。

4. 驗證訪問權限

若要確保 GitHub 帳戶和數據的安全，請要求和管理身份驗證訪問。

雙重身份驗證

雙重身份驗證（2FA）通過在對登錄進行身份驗證時需要多個憑據來保障安全。為了獲得最大的安全性，GitHub 建議使用帶有使用時間限制的一次性密碼（TOTP）服務，例如 LastPass 身份驗證器或 Microsoft 身份驗證器。

SSH 身份驗證

用戶設置安全系數較低的密碼或在多個服務之間共享密碼，從而產生安全風險。為避免此類風險，請使用 SSH 私有密鑰/公有密鑰對服務器上的操作進行身份驗證。為了提高安全性，GitHub 支持自動 SSH 密鑰過期和輪換，即使 SSH 密鑰泄露，訪問窗口也會受到限制。

個人訪問令牌

對于較小的項目，請使用個人訪問令牌。個人訪問令牌的運作原理類似于 SSH 密鑰，但不提供自動輪換，GitHub 帳戶所有者需要手動設置。

5. 將訪問限制在預批準 IP 地址列表

將 GitHub 服務器的訪問鎖定在預先批準的靜態 IP 地址列表中，這種方法是最簡單、最直接的安全訪問方式之一。有了IP限制，黑客在試圖訪問你的 GitHub 代碼倉庫之前，必須識別并滲透到預先批準的名單上的計算機。即使你的登錄憑證被泄露，這對他們來說也是一個重大障礙。

6. 及時撤銷權限

為了保持最高的安全標準，需要細化管理訪問權限，并在項目開發期間定期對其進行評估。當員工離開項目或企業時，請及時修改或撤銷其訪問權限。此方法遵循最小特權原則，即授予執行特定任務所需的權限。這樣做將確保每個有權訪問代碼的人都只在其權限范圍內工作。

7. 密鑰管理解決方案

GitHub 代碼庫面臨的最大安全風險之一是開發人員的粗心大意，而不是惡意組織入侵基礎架構。為最大化代碼庫的安全性，可以考慮密鑰管理解決方案。這些解決方案會自動阻止敏感信息到達 GitHub 代碼庫，并在敏感數據已泄露的情況下清理代碼庫。 多個 GitHub 工具可處理不同的安全模式，例如：

• git rebase，用于刪除意外提交到代碼中的已知敏感信息的命令行工具。
• truffleHog，是一款功能強大的數據挖掘工具，該工具可以幫助廣大研究人員輕松從目標 Git 庫中搜索出搜索高熵字符串和敏感數據（如 API 密鑰，令牌和訪問憑據），可以根據這些信息來提升自己代碼庫的安全性。
• Git-Secret，用來加密 git 項目中的文件，防止 git 項目傳到網上出現泄密的情況。

密鑰管理解決方案需要直接集成到 CI/CD 流水線中，還必須使用 AI 和機器學習算法來進行自動識別和阻止，然后再將其推送到 GitHub 存儲庫。

若要防止機密首先暴露（即便是意外泄露），請實施 “Secret Vault 機密保險庫” 安全策略。Secret Vault 是一個獨立的系統，用于存儲敏感信息。而 Vault 是一種用于保護高度敏感數據的工具，同時提供統一的訪問接口。有了 Secret Vault，可以執行更嚴格的訪問控制和審核跟蹤，并能夠輕松檢測漏洞和違規行為。

8. 制定安全計劃保護您的代碼

在制定安全計劃時，請注意以下幾點：

• 在組織內強制實施安全標準，并將所有敏感信息存儲在 Secret Vault 或安全密鑰存儲中。
• 對組織中使用的敏感信息進行分類。了解組織可能出現漏洞的地方，無論是數據庫密碼、API 密鑰、token 還是管理面板的 URL。
• 最重要的是，要意識到人為錯誤通常是安全漏洞的根源。處理安全漏洞的成本之高可能給企業或組織帶來“滅頂之災”。

企業可以嘗試使用這些掃描工具，并將此工具集成到 CI/CD 流水線中，來有效阻止敏感信息提交到 GitHub 代碼庫。?