您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

软件开发中的密码与密钥管理

时间:2023-01-09 11:31:16  来源:  作者:qaseven
让我们深入探讨 DevOps 和 DevSecOps 管道中密码密钥管理的各个方面。

 

当今的数字业务有望以闪电般的速度创新、执行和发布产品。自动化工具的广泛采用,加上 DevOps 和DevSecOps 工具,有助于这些企业实现更高的开发速度和更快的反馈循环。这最终有助于缩短发布周期并以迭代方式提高产品质量。

尽管向微服务和容器化应用程序的转变以及开源的采用正在帮助开发人员更快地交付产品,但它们也带来了与合规性和安全性相关的挑战。根据 1Password 的Hidden In Plain Sight 报告,企业中的 DevOps 和 IT 团队不断面临由机密泄露、机密共享不安全和手动机密管理等带来的挑战。

管理大型项目的 API 密钥、密码、加密密钥等机密信息非常复杂。让我们在本文中深入探讨机密管理的各个方面。

 

什么是密码密钥管理?

 

简而言之,密码是非人类特权凭证,为开发人员提供访问应用程序、容器等资源的权限。类似于密码管理,秘密管理是一种将秘密(例如,访问令牌、密码、API 密钥等)存储在具有更严格访问控制的安全环境中的做法。

随着应用程序的复杂性和规模随着时间的推移而增长,管理密码可能会变得混乱。此外,可能会出现跨技术堆栈的不同块共享秘密的情况。这可能会造成严重的安全威胁,因为它会为恶意行为者打开后门来访问您的应用程序。

密码管理确保敏感信息永远不会被硬编码,并且只能以加密格式提供。与 RBAC(基于角色的访问控制)一起安全访问敏感数据是密码管理的秘诀。

 

密码密钥管理的挑战

 

在许多情况下,开发人员可能不小心在他们的代码或配置文件中使用了硬编码的纯文本格式凭证。如果将包含机密的相应文件推送到 GitHub(或任何其他流行的代码托管平台)上指定的公共存储库,对业务的影响可能会很大。

多云基础设施、容器化应用程序、IoT/IIoT、CI/CD 和类似进步所提供的好处可以通过同时关注秘密的有效管理来最大限度地利用。对开发和 DevOps 团队进行应用程序安全教育是在团队中建立安全第一文化的最重要步骤。

以下是 DevOps 和 DevSecOps 团队在管理机密时面临的主要挑战:

 

这种情况通常发生在团队(和/或组织)的密码分布在整个组织中时。数字优先的组织越来越多地使用容器和基于云的工具来提高开发人员的速度、节省成本并加快发布速度。同样的原则也适用于基于物联网应用程序的开发和测试。

根据应用程序的规模和复杂性,机密很可能分布在:

 

  1. 基于容器化微服务的应用程序(例如,Kube.NETes、OpenShift、Nomad)
  2. 自动化 E2E 测试/跟踪平台(例如,Prometheus、Graphite)
  3. 内部开发的工具/流程
  4. 应用服务器和数据库
  5. DevOps 工具链

 

以上列表中的项目因应用程序的规模、大小和复杂性而异。提供 RBAC、使用强旋转密码和避免密码共享是团队/组织内每个级别都必须遵循的一些简单实践。

 

云开发人员和测试工具的激增

 

无论项目的大小和规模如何,开发团队都希望最大限度地利用 GCP(谷歌云平台)、Microsoft Azure、AWS(亚马逊网络服务)、Kubernetes 等云开发工具。

云工具肯定会加快与开发和测试相关的流程,但必须在使用它们的同时将安全实践放在首位。用于访问相应云平台的密钥(例如 AWS 密钥)的任何泄露都可能导致经济损失。

在存储库中公开公开的 AWS 凭证

鉴于如此多的风险,DevOps 和开发团队必须确保任何类型的密钥在公共领域(例如 GitHub 存储库)中都不会以人类可读的格式提供。专注于社区主导增长 (CLG) 以宣传其产品或开发人员工具的组织需要确保其用户不会将任何密钥公开遗漏!如果密钥可公开访问,黑客可能出于恶意原因利用您的平台。

用于管理机密的手动流程、使用第三方资源(例如 API)时的数据安全以及安全镜头的端到端可见性是组织在机密管理方面面临的其他挑战。

 

密码密钥管理最佳实践

 

在安全管理机密方面没有一种放之四海而皆准的方法,因为这在很大程度上取决于基础设施、产品要求和其他此类变化因素。

撇开变量不谈,这里有一些关于高效和可扩展的秘密管理的最佳实践:

 

使用 RBAC(基于角色的访问控制)

 

每个项目和组织都有敏感数据和资源,必须只能由受信任的用户和应用程序访问。系统中的任何新用户都必须分配默认权限(即最小访问控制)。提升的权限必须仅对项目或组织中的少数成员可用。

管理员(或超级管理员)必须有权根据需要添加或撤销其他成员的权限。权限升级也必须根据需要进行,并且只能在有限的时间内进行。在授予/撤销权限时必须添加适当的注释,以便所有相关的项目涉众都具有完整的可见性。

 

使用安全保险

 

简单来说,保险库是一种主要用于保护任何敏感信息(例如,密码、API 密钥、证书等)的工具。以人类可读的形式在本地存储机密信息是管理机密信息最糟糕的方法之一。

这就是安全保险库非常有用的地方,因为它们为任何秘密提供了统一的接口,并提供了详细的审计日志。通过指定访问权限(授权),安全保险库还可用于检测基于角色的访问控制 (RBAC)。Hashicorp Vault Helm chart和Vault for Docker是两个流行的保险库管理器,可用于运行保险库服务、访问和存储机密等。

由于大多数应用程序都利用了云的潜力,因此在数据传输或静止时关注数据安全性非常重要。这就是 EaaS(加密即服务)可用于在静态存储数据之前将应用程序的加密需求卸载到保管库的地方。

 

定期轮换密钥

 

几周或几个月后重置密钥是一种很好的安全做法。一种做法是手动重新生成密钥,因为使用这些秘密的应用程序可能会在日志文件或集中式日志记录系统中留下痕迹。攻击者可以获得对日志的后门访问并使用它来泄露秘密。

此外,同事可能会无意中向组织外部泄露机密。为避免此类情况,建议在相应的机密管理工具中启用机密轮换。例如,AWS Secrets Manager 中的 Secrets Manager 轮换使用 AWS Lambda 函数来更新密钥和数据库。

最重要的是,团队应该有适当的实践来检测对系统的未授权访问。这将有助于在对业务造成重大损害之前采取适当的措施。

 

为什么要在 DevSecOps 管道中实施机密管理?

 

只有在 CI/CD 管道中对代码进行自动化测试,才能实现加速发布周期和更快的开发人员反馈。在 CI 管道中运行的测试可能需要访问关键的受保护资源,如数据库、HTTP 服务器等。

甚至在 Docker 容器内运行单元测试也是一种常见做法,但开发人员和 QA 需要确保秘密不存储在 Dockerfile 中。秘密管理工具可以与流行的 CI/CD 工具(例如 Jenkins)结合使用,从而在集中位置管理密钥和其他秘密。秘密也通过加密和令牌化存储。



Tags:软件开发   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
让我们深入探讨 DevOps 和 DevSecOps 管道中密码密钥管理的各个方面。 当今的数字业务有望以闪电般的速度创新、执行和发布产品。自动化工具的广泛采用,加上 DevOps 和DevSec...【详细内容】
2023-01-09  Tags: 软件开发  点击:(0)  评论:(0)  加入收藏
Java是一门用来开发软件的计算机语言,如同汉语是在中国进行交流你的语言,西班牙语是在西班牙交流的语言,编程自然适合计算机沟通,就需要使用计算机认识的语言,那么Java就是其中一...【详细内容】
2022-10-15  Tags: 软件开发  点击:(65)  评论:(0)  加入收藏
ODC是Offshore Development Center的缩写,翻译过来叫离岸开发/研发中心。但是,也有人说是Offshore Delivery Center。我们更愿意用Offshore Development Center,因为我们不仅仅...【详细内容】
2022-09-06  Tags: 软件开发  点击:(333)  评论:(0)  加入收藏
GitHub 已普遍提供由 GitHub Issues 提供支持的项目,这是一组用于管理基于电子表格界面的应用程序开发项目的工具。GitHub 产品管理副总裁 Mario Rodriguez 表示,这些工具使 D...【详细内容】
2022-08-07  Tags: 软件开发  点击:(104)  评论:(0)  加入收藏
Subsurfer 是使用 HTML5 Canvas 控件和 WebGL 用 Ja​vaScript 编写的 3D 建模应用程序。它实现了 Catmull-Clark 细分曲面算法。该程序的一个独特功能是编辑窗口使用自定义...【详细内容】
2022-07-24  Tags: 软件开发  点击:(102)  评论:(0)  加入收藏
在当今数字化的世界,每个人都被软件所包围,软件用于交通、电网、发电厂等领域。这些系统在不同操作系统上运行,具有许多集成功能的软件为所有这些工具提供动力。软件在企业中业...【详细内容】
2022-07-15  Tags: 软件开发  点击:(205)  评论:(0)  加入收藏
好的软件开发网站有哪些?做软件开发哪些网站能提供帮助呢?这些很多做软件开发的小伙伴都会问到的问题。007出海全球社交流量导航网站,整合了多方出海跨境网站资源,为你介绍出海...【详细内容】
2022-07-08  Tags: 软件开发  点击:(196)  评论:(0)  加入收藏
软件开发的世界是一个不断发展的景观。没有什么是一成不变的,因为程序员总是在创新。无论是自动化、更强大的安全性、增强功能、跨平台兼容性,还是大量其他目标,apex 编码员似...【详细内容】
2022-02-23  Tags: 软件开发  点击:(227)  评论:(0)  加入收藏
编辑:左右里 近日,一位名为“Topleak”的用户在BleepingComputer论坛上发布了一个引人注目的帖子,其自称是Maze、Egregor、Sekhmet恶意软件开发者,表示决定向公众发布Maze、Egr...【详细内容】
2022-02-14  Tags: 软件开发  点击:(177)  评论:(0)  加入收藏
1940 年代初期至 1960 年代是信息系统时代及其发展的开端。在此之前,弗雷德里克·泰勒 (Frederick Taylor) 和亨利·甘特 (Henry Gantt) 于 1910 年提出了管理...【详细内容】
2021-11-03  Tags: 软件开发  点击:(180)  评论:(0)  加入收藏
▌简易百科推荐
让我们深入探讨 DevOps 和 DevSecOps 管道中密码密钥管理的各个方面。 当今的数字业务有望以闪电般的速度创新、执行和发布产品。自动化工具的广泛采用,加上 DevOps 和DevSec...【详细内容】
2023-01-09  qaseven     Tags:软件开发   点击:(0)  评论:(0)  加入收藏
前言项目是基于swoole开发,框架也是公司内自己开发的框架,并没有用外界热门的swoole框架,swoole是4.0.0版本。项目需要执行大量的自动任务,框架是通过swoole的sendMessage方法将...【详细内容】
2022-12-29  博读代码  51CTO  Tags:后端   点击:(10)  评论:(0)  加入收藏
现在的各种开源项目中使用 Vue 的越来越多了,作为一个后端程序员不会点 Vue 也都玩不转了。所以抽空学习了一下 Vue 的简单用法,整理成笔记,方便有需要的同学一起学习。Vue 是...【详细内容】
2022-12-28  猿来猿往  今日头条  Tags:VUE   点击:(14)  评论:(0)  加入收藏
C语言几乎唯一的缺点就是,需要手动管理内存。抛开这点之外,我觉得其他语言都不如C语言[呲牙]所以,虽然自动内存管理比较复杂,但我还是给scf编译器框架加了静态的GC算法。在编程...【详细内容】
2022-12-27  底层技术栈  今日头条  Tags:编译器   点击:(14)  评论:(0)  加入收藏
编译器在经过词法分析、语法分析之后,就把源代码变成了抽象语法树(AST)。接下来,编译器的任务就是把AST变成机器码。AST,是一个表示代码逻辑的树形结构,它是不能直接顺序遍历的,而...【详细内容】
2022-12-26  底层技术栈  今日头条  Tags:编译   点击:(13)  评论:(0)  加入收藏
大家在平时的开发过程中估计不会经常碰到需要主动取消一个 Fetch 请求的需求,所以一部分同学可能对这一块知识不是很了解。没有关系,看完这篇文章你就能够掌握关于如何终止一...【详细内容】
2022-12-25  嘻呱互联   网易号  Tags: Promise   点击:(12)  评论:(0)  加入收藏
很早前就想写一篇关于 eBPF 的文章,但是迟迟没有动手,这两天有点时间,所以就来写一篇。这文章主要还是简单的介绍 eBPF 是用来干什么的,并通过几个示例来介绍是怎么玩的。这个技...【详细内容】
2022-12-24   IT架构师联盟     Tags:eBPF   点击:(4)  评论:(0)  加入收藏
了解过lombok底层原理的都知道其使用的就是的插入式注解,那么今天笔者就以真实场景演示一下插入式注解的使用。需求我们为公司提供了一套通用的java基础组件包,组件包内有不同...【详细内容】
2022-12-16  王路飞学Java  今日头条  Tags:插入式注解   点击:(15)  评论:(0)  加入收藏
不知道有没有这样的兄弟,学习 Vite 的时候,官网上各种配置看的是眼花缭乱。不知道哪些需要掌握,哪些只用简单了解一下。为了提高大家的效率,我把项目中常用的配置梳理了一下分享...【详细内容】
2022-12-15  前端阿飞V  今日头条  Tags:Vite   点击:(65)  评论:(0)  加入收藏
前言相信大家在网上冲浪都遇到过登录时输入图片验证码的情况,既然我们已经学习了 Spring Security,也上手实现过几个案例,那不妨来研究一下如何实现这一功能。首先需要明确的是...【详细内容】
2022-12-12  马士兵教育CTO  今日头条  Tags:验证码   点击:(24)  评论:(0)  加入收藏
站内最新
站内热门
站内头条