Bewerten Sie Ihren Sicherheitsstatus für die Quellcodeverwaltung mit GitGat

Ihr Versionskontrollsystem ist eines der sensibelsten Glieder im Lebenszyklus Ihrer Softwareentwicklung. Es speichert den Software-Quellcode, Build-Skripte und IaC-Skripte (Infrastructure as Code) sowie in einigen Fällen Geheimnisse und zusätzliche vertrauliche Informationen. Daher sollte die Sicherung des Quellcodeverwaltungssystems einer Ihrer ersten Schritte zur Sicherung der Softwareentwicklungsumgebung sein.

Um zum Schutz des SCM beizutragen, haben wir GitGat entwickelt. GitGat ist eine Reihe eigenständiger OPA (Richtlinien-Agent öffnen) Richtlinien, die in Rego geschrieben wurden. Der Einsatz von OPA ermöglicht mehrere Anwendungsfälle, als Teil anderer OPA-basierter Tools oder als eigenständige Anwendungen. GitGat wertet die Sicherheitseinstellungen Ihres SCM-Kontos aus und liefert Ihnen einen Statusbericht und umsetzbare Empfehlungen. Der Statusbericht kann in einer für den Sicherheitsexperten lesbaren Form (MD-Datei) oder in einer maschinenlesbaren Form (JSON-Datei) generiert werden, um automatisierte Richtlinienentscheidungen und -aktionen zu unterstützen.

Da GitHub eines der weltweit führenden SCM-Systeme ist, wollten wir dies als Ausgangspunkt nutzen. Unser Ziel ist es, die Unterstützung schließlich auf andere SCM-Plattformen auszuweiten.

GitGat unterstützt derzeit die Evaluierung der folgenden Richtlinienfamilien:

• Zugriffskontrolle - verhindern Erstzugriff Techniken, die auf dem Diebstahl von Anmeldedaten basieren.
  • Validieren Sie die 2-Faktor-Authentifizierung wird Ihrer Organisation oder ihren Mitgliedern auferlegt, um zu verstehen, wer derzeit 2FA nicht nutzt.
  • Validieren Sie die Sichtbarkeit des Repositorys ist wie geplant. 
  • Kontrolle validieren von Deploy und SSH Tasten.
• Berechtigungen – Verhindern Sie Angriffsschritte, die auf übermäßige Berechtigungen zurückzuführen sind Ausführung, Verteidigungsumgehung, Zugriff auf Zugangsdaten,
  • Ordnen Sie Benutzer mit Administratorrechten zu
  • Ordnen Sie Teamberechtigungen zu und benachrichtigen Sie Teams mit Administratorberechtigungen
• Abzweigschutz – Verhindern Sie Angriffsschritte, die unbeabsichtigte und unzulässige Repository-Änderungen ausnutzen: Ausführung, Beharrlichkeit, Verteidigungsumgehung und Wirkung
  • Geschützte und ungeschützte Zweige zuordnen
  • Zweigschutzkonfiguration zuordnen – um zu verstehen, welche Schutzmaßnahmen vorhanden sind (z. B. Durchsetzung von Überprüfungen und signierten Commits sowie Verhinderung des Löschens des Verlaufs).
• Verfolgung von Dateiänderungen – Verhindern/Erkennen von Angriffsschritten, die Dateizugriffsberechtigungen ausnutzen, die standardmäßig bei Verwendung von GitHub gewährt werden: Hinrichtung, Beharrlichkeit und Verteidigungsumgehung.

Wir planen, die Unterstützung für geheimes Scannen mithilfe von Open-Source-Tools wie z. B. hinzuzufügen Git-Leaks.

Wie jeder Sicherheitsexperte weiß, sind Sicherheitsregeln und -richtlinien in der Regel eine Grundlage für projektspezifische Entscheidungen. Jedes Projekt unterliegt besonderen Bedingungen und Einschränkungen, die eine besondere Genehmigung eines autorisierten Beteiligten erfordern. Um eine einfache Verwaltung solcher Sonderfälle zu ermöglichen, unterstützt GitGat die Verwaltung eines Zustands. Der Status, ein vom Benutzer verwaltetes JSON-Objekt, kann solche Ausnahmen speichern. Auf diese Weise können Sie einen kontinuierlichen Scan des Sicherheitsstatus durchführen und werden nur dann benachrichtigt, wenn es Neues gibt oder nicht in Ihrem Status enthalten ist. 

Eine ausführliche Bedrohungsanalyse dazu, warum wir diese Probleme als Ausgangspunkt für die Verbesserung der Sicherheitslage des SCM gewählt haben, finden Sie in der README-Datei des GitGat-Repository. 

Wir laden alle ein, das Projekt auszuprobieren. Fühlen Sie sich frei, Kritik zu äußern, Ideen, Wünsche oder sogar Hilfe. Es gibt viele Richtungen, in die sich dieses Projekt entwickeln kann, und wir freuen uns, sie gemeinsam mit Ihnen zu erkunden.