Github 的防火墙来了吗?
近日,谷歌公开了一个名为 Allstar 的项目,可以通过不断监视和强制执行一组安全策略来保护 GitHub 项目,从而防止基本的安全配置错误。
Allstar作为一个 GitHub 应用程序提供,可以安装在组织和用户的账户上,并允许其访问所需的存储库。
Allstar 的工作方式是读取一个配置文件,其中包含一组称为安全策略的用户定义的规则,然后不断扫描和检查项目的设置和最近的事件,以确保不对项目的敏感区域进行修改。
如果最近的项目更新违反了其中一项安全策略,谷歌称 Allstar 可以:
- 记录违反安全策略的行为;
- 打开一个 GitHub 问题来通知管理员;
- 采取自动操作修复或恢复项目设置,以使其符合原始 Allstar 配置。
未来的 Allstar 开发计划还包括添加在策略检查失败时向管理员发送电子邮件的功能,在策略中断时阻止新代码合并到存储库中,或者通过 RPC 调用通知第三方应用程序进行跨平台更新。
目前,Allstar 支持以下安全策略的配置选项,但谷歌表示,该项目将很快收到更多:
- 检查存储库的“分支保护”功能是否仍处于启用状态。
- 检查项目的“自动依赖项更新”选项是否处于激活状态。
- 检查项目是否已经冻结依赖项。
- 检查库管理员是否支持特定 GitHub 组织的一部分。
- 检查二进制工件(文件)是否已上传给项目。
- 检查库中是否存在 SECURITY.md 文件,确保有针对性地报告错误。
虽然谷歌最初开发了Allstar,但该项目今天已经在开源安全基金会下开源。开源安全基金会是由如今最大的科技公司组建的基金会,以帮助引导、指导和共享开源安全工具。
除了谷歌,开源安全基金会(OpenSSF)的成员还包括 GitHub、Microsoft、Canonical、Cisco、Facebook、Intel、HP、Tencent、IBM、Red Hat、Samsung等等。