梦入神机,将夜猫腻小说,大主宰之灵路天蚕土豆

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

GitHub給安全行業(yè)的四大啟示

直到今天，安全行業(yè)才逐漸開始意識(shí)到開源社區(qū)已信奉多年的天條：協(xié)作才是創(chuàng)新的關(guān)鍵所在。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名與空間、雅安服務(wù)器托管、營銷軟件、網(wǎng)站建設(shè)、北關(guān)網(wǎng)站維護(hù)、網(wǎng)站推廣。

即使你不是軟件開發(fā)人員，你也可能聽說過全球***的代碼托管服務(wù)GitHub的大名，如今有800萬用戶使用GitHub進(jìn)行社會(huì)化協(xié)作開發(fā)，事實(shí)上GitHub已經(jīng)改變了軟件開發(fā)的游戲規(guī)則，甚至非開發(fā)人員也能使用GitHub對產(chǎn)品的功能和bug進(jìn)行反饋。

但是很少有人注意到，GitHub本身的安全開發(fā)和運(yùn)營實(shí)際上正在改變企業(yè)安全的游戲規(guī)則，通過GitHub安全團(tuán)隊(duì)成員Roberts的介紹，我們了解到GitHub正在從以下幾個(gè)方面改變信息安全的游戲規(guī)則：

重新定義的團(tuán)隊(duì)協(xié)作

與現(xiàn)代企業(yè)中的團(tuán)隊(duì)不同，GitHub的雇員來自全球各地。例如GitHub的安全團(tuán)隊(duì)中Scott Roberts來自俄亥俄州，負(fù)責(zé)網(wǎng)絡(luò)安全監(jiān)控、事件響應(yīng)和威脅情報(bào)，而安全團(tuán)隊(duì)的其他成員則散布在自科羅拉多、伊利諾伊和路易斯安那等州。

Roberts有一天想為事件響應(yīng)任務(wù)找一個(gè)好用的OS X審核工具，他在GitHub上查到了一個(gè)項(xiàng)目OSXAuditor能非常好地滿足他的需要，于是Roberts開始Fork這個(gè)項(xiàng)目，在發(fā)送Pull Request提交貢獻(xiàn)的同時(shí)也認(rèn)識(shí)了項(xiàng)目的作者@jipegit。數(shù)月后Roberts在巴黎與jipegit共進(jìn)晚餐時(shí)感慨萬千：GitHub的魅力在于，它能讓這個(gè)世界上互不認(rèn)識(shí)的人也能達(dá)成協(xié)作，甚至成為朋友。

可以說，GitHub重新定義了團(tuán)隊(duì)的邊界。而且類似GitHub的開源社區(qū)***的優(yōu)勢就是本身就是一個(gè)***的眾測環(huán)境——用戶和潛在團(tuán)隊(duì)成員的多樣化和多元化，他們會(huì)在各種古怪和極端的環(huán)境中測試你的產(chǎn)品，***限度地發(fā)掘你產(chǎn)品中可能有的各種漏洞或bug，甚至提交代碼貢獻(xiàn)。

基礎(chǔ)架構(gòu)的改變

GitHub的服務(wù)器主要運(yùn)行Ubuntu，都通過Puppet管理，自動(dòng)化配置是關(guān)鍵所在，這樣才能快速實(shí)現(xiàn)任何修改，尤其是安全更新和新功能發(fā)布方面。

Roberts認(rèn)為，拋開運(yùn)營團(tuán)隊(duì)不談，GitHub網(wǎng)絡(luò)最牛逼的是GitHub自己開發(fā)的聊天機(jī)器人程序——Hubot，可以完成圖片查找、日志搜索等各種任務(wù)。從某種程度上，Hubot完全改變了GitHub的運(yùn)營方式。GitHub的安全團(tuán)隊(duì)還在OS X桌面系統(tǒng)使用Puppet(Github開源項(xiàng)目Boxen)，可以管理散布于不同地理位置的筆記本電腦，方便開發(fā)者的項(xiàng)目協(xié)作。

安全方法與工具的改變

對于任何一個(gè)提供軟件下載的站點(diǎn)，人們首先會(huì)質(zhì)疑這個(gè)網(wǎng)站是作何確保軟件沒有被植入惡意程序。對于GitHub這樣的代碼托管站點(diǎn)，這個(gè)問題尤為突出。

GitHub采取的方法是重點(diǎn)保護(hù)項(xiàng)目的創(chuàng)建者和管理者，增加了兩步認(rèn)證等安全訪問控制手段，沒有授權(quán)訪問，惡意用戶就無法向代碼庫中注入惡意代碼或木馬程序。

對于那些突破認(rèn)證環(huán)節(jié)的例外事件，GitHub的安全團(tuán)隊(duì)會(huì)快速響應(yīng)，與項(xiàng)目擁有者、整個(gè)社區(qū)和支持團(tuán)隊(duì)一起分析被感染代碼，并盡快下架。

在日常工作中GitHub的安全團(tuán)隊(duì)使用的工具既有商業(yè)化的，也有開源的，甚至還包括自行開發(fā)的內(nèi)部工具。

例如GitHub的安全團(tuán)隊(duì)喜歡使用Splunk分析日志，同時(shí)也使用ELK進(jìn)行分析，數(shù)據(jù)分析方面還經(jīng)常使用Graphite。GitHub的應(yīng)用安全團(tuán)隊(duì)還經(jīng)常使用Brakeman、Burp proxy以及大量定制化的代碼和工具。事件響應(yīng)方面GitHub的安全團(tuán)隊(duì)喜歡使用Maltego進(jìn)行調(diào)查，使用Cuckoo Sanbox進(jìn)行惡意軟件分析，使用OSXCollector和Autopsy進(jìn)行取證分析，同時(shí)還在研究Google的GRR項(xiàng)目在遠(yuǎn)程取證方面的應(yīng)用。

未來的計(jì)劃：大量的自動(dòng)化

正如GitHub中托管的不計(jì)其數(shù)的項(xiàng)目每天都會(huì)收到更新請求一樣，GitHub團(tuán)隊(duì)每天也會(huì)收到大量關(guān)于GitHub本身的功能更新和改進(jìn)請求，其中就有包括安全性方面的。

Roberts表示他接下來的工作重點(diǎn)就是將盡可能多的安全工作自動(dòng)化?！拔业哪繕?biāo)是：如果你第二次做同樣的工作是一種巧合，但第三次做重復(fù)工作的時(shí)候你就應(yīng)當(dāng)開動(dòng)腦筋，看看能不能把這個(gè)任務(wù)自動(dòng)化。我們用Hubot自動(dòng)化了大量工作，Boxen提供了Hubber系統(tǒng)的自動(dòng)化水平，而Puppet則負(fù)責(zé)服務(wù)器端的自動(dòng)化。

在Roberts看來，安全團(tuán)隊(duì)的***要?jiǎng)?wù)是應(yīng)急響應(yīng)，為了更好地完成這個(gè)任務(wù)，就必須確保不被一些相對簡單的事情牽扯過多精力。

原文地址：http://www.aqniu.com/neotech/secured-development/6445.html

網(wǎng)站名稱：GitHub給安全行業(yè)的四大啟示
當(dāng)前地址：http://m.fisionsoft.com.cn/article/cocgoio.html

新聞中心

其他資訊