web-dev-qa-db-fra.com

Sécurité GIT Server

Je veux installer un serveur Git pour ma société. Je suis capable d'obtenir une machine virtuelle Windows. Maintenant, on m'a demandé d'évaluer ses aspects de sécurité. Je suis perdu sur la façon d'atteindre cet objectif.

Comme il s'agit d'une machine virtuelle Windows, je vais utiliser Ceci .

Existe-t-il une façon d'évaluer le risque de sécurité?

13
Flying Swissman

Il existe des cadres de risque de sécurité ( STRIDE , DREAD et autres) que vous pouvez appliquer obtenir une approche systématique pour évaluer les risques et les menaces.

TFS est une solution Microsoft qui implémente une sorte de git (de mon expérience, je ne crois pas que ce soit une intégration de Git pure, mais je me trompe). Ils offrent ressources précieuses pour la sécurité, donc cela vaut la peine de vérifier.

Il y a plusieurs éléments à considérer lorsque vous parlez de la sécurité dans GIT, et vous devez définir les exigences de cet aspect. Par exemple, dans GIT, chaque personne ayant accès à un référentiel est autorisée à télécharger chaque fichier dans ce référentiel (ceci est indépendant de quel outil vous utilisez pour gérer le référentiel). Ils obtiennent une copie complète de tout de là. Vous devrez peut-être définir plusieurs référentiels, en fonction du type de projets avec lequel vous travaillerez.

Les sauvegardes peuvent être plus faciles à effectuer dans une machine virtuelle, mais vous aurez peut-être besoin d'une stratégie de sauvegarde pour affirmer l'intégrité des données et la disponibilité.

Vous pouvez également envisager les méthodes d'authentification. Il s'agissait d'un environnement Windows, vous pouvez même choisir de partager le dossier GIT dans votre domaine et de la gérer avec les autorisations de l'utilisateur, mais gardez à l'esprit que les performances peuvent en souffrir (GIT crée de nombreux objets). Il semble y avoir des répertoires actifs, LDAP et PAM pour certains gestionnaires aussi.

Topic Side: Le PentestPartners Post " Systèmes de contrôle de la version d'extraction gite " est intéressant car il montre une attaque qui vole des objets Git. Il offre certaines préoccupations concernant l'accès aux fichiers de configuration.

9
Purefan