会社にGitサーバーをインストールしたい。 Windows仮想マシンを入手できます。今、私はそのセキュリティ面を評価するように求められました。この目標を達成する方法に迷っています。
これはWindows仮想マシンなので、 this を使用します。
セキュリティリスクを評価する方法はありますか?
適用できるセキュリティリスクフレームワーク( [〜#〜] stride [〜#〜] 、 [〜#〜] dread [〜#〜] など)があります。リスクと脅威を評価するための体系的なアプローチを得るため。
TFSは、一種のGitを実装するMicrosoftのソリューションです(私の経験から、これは純粋なGit統合ではないと思いますが、私は間違っているかもしれません)。セキュリティのために 貴重なリソース を提供しているので、チェックする価値があります。
Gitのセキュリティについて話す際に考慮すべき点がいくつかあり、この側面の要件を定義する必要があります。たとえば、Gitでは、リポジトリにアクセスできるすべてのユーザーが、そのリポジトリ内のすべてのファイルをダウンロードできます(これは、リポジトリの管理に使用するツールとは無関係です)。彼らはそこにあるすべての完全なコピーを取得します。作業するプロジェクトのタイプによっては、いくつかのリポジトリを定義する必要がある場合があります。
バックアップは仮想マシンで実行する方が簡単ですが、データの整合性と可用性をアサートするためのバックアップポリシーが必要になる場合があります。
認証方法を検討することもできます。これはWindows環境であるため、ドメイン内のGitフォルダーを共有してユーザー権限で管理することもできますが、これによりパフォーマンスが低下する可能性があることに注意してください(Gitは多くのオブジェクトを作成します)。 特定のマネージャー 用のActive Directory、LDAP、PAMもあるようです。
サイドトピック:PenTestPartnersの投稿“ Git Extraction – Abusing version control systems ”は、Gitオブジェクトを盗む攻撃を示しているので興味深いです。設定ファイルへのアクセスに関する懸念がいくつかあります。