日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
GitHub給安全行業(yè)的四大啟示

直到今天,安全行業(yè)才逐漸開始意識到開源社區(qū)已信奉多年的天條:協(xié)作才是創(chuàng)新的關(guān)鍵所在。

讓客戶滿意是我們工作的目標,不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴,公司提供的服務(wù)項目有:域名與空間、雅安服務(wù)器托管、營銷軟件、網(wǎng)站建設(shè)、北關(guān)網(wǎng)站維護、網(wǎng)站推廣。

即使你不是軟件開發(fā)人員,你也可能聽說過全球***的代碼托管服務(wù)GitHub的大名,如今有800萬用戶使用GitHub進行社會化協(xié)作開發(fā),事實上GitHub已經(jīng)改變了軟件開發(fā)的游戲規(guī)則,甚至非開發(fā)人員也能使用GitHub對產(chǎn)品的功能和bug進行反饋。

但是很少有人注意到,GitHub本身的安全開發(fā)和運營實際上正在改變企業(yè)安全的游戲規(guī)則,通過GitHub安全團隊成員Roberts的介紹,我們了解到GitHub正在從以下幾個方面改變信息安全的游戲規(guī)則:

重新定義的團隊協(xié)作

與現(xiàn)代企業(yè)中的團隊不同,GitHub的雇員來自全球各地。例如GitHub的安全團隊中Scott Roberts來自俄亥俄州,負責網(wǎng)絡(luò)安全監(jiān)控、事件響應(yīng)和威脅情報,而安全團隊的其他成員則散布在自科羅拉多、伊利諾伊和路易斯安那等州。

Roberts有一天想為事件響應(yīng)任務(wù)找一個好用的OS X審核工具,他在GitHub上查到了一個項目OSXAuditor能非常好地滿足他的需要,于是Roberts開始Fork這個項目,在發(fā)送Pull Request提交貢獻的同時也認識了項目的作者@jipegit。數(shù)月后Roberts在巴黎與jipegit共進晚餐時感慨萬千:GitHub的魅力在于,它能讓這個世界上互不認識的人也能達成協(xié)作,甚至成為朋友。

可以說,GitHub重新定義了團隊的邊界。而且類似GitHub的開源社區(qū)***的優(yōu)勢就是本身就是一個***的眾測環(huán)境——用戶和潛在團隊成員的多樣化和多元化,他們會在各種古怪和極端的環(huán)境中測試你的產(chǎn)品,***限度地發(fā)掘你產(chǎn)品中可能有的各種漏洞或bug,甚至提交代碼貢獻。

基礎(chǔ)架構(gòu)的改變

GitHub的服務(wù)器主要運行Ubuntu,都通過Puppet管理,自動化配置是關(guān)鍵所在,這樣才能快速實現(xiàn)任何修改,尤其是安全更新和新功能發(fā)布方面。

Roberts認為,拋開運營團隊不談,GitHub網(wǎng)絡(luò)最牛逼的是GitHub自己開發(fā)的聊天機器人程序——Hubot,可以完成圖片查找、日志搜索等各種任務(wù)。從某種程度上,Hubot完全改變了GitHub的運營方式。GitHub的安全團隊還在OS X桌面系統(tǒng)使用Puppet(Github開源項目Boxen),可以管理散布于不同地理位置的筆記本電腦,方便開發(fā)者的項目協(xié)作。

安全方法與工具的改變

對于任何一個提供軟件下載的站點,人們首先會質(zhì)疑這個網(wǎng)站是作何確保軟件沒有被植入惡意程序。對于GitHub這樣的代碼托管站點,這個問題尤為突出。

GitHub采取的方法是重點保護項目的創(chuàng)建者和管理者,增加了兩步認證等安全訪問控制手段,沒有授權(quán)訪問,惡意用戶就無法向代碼庫中注入惡意代碼或木馬程序。

對于那些突破認證環(huán)節(jié)的例外事件,GitHub的安全團隊會快速響應(yīng),與項目擁有者、整個社區(qū)和支持團隊一起分析被感染代碼,并盡快下架。

在日常工作中GitHub的安全團隊使用的工具既有商業(yè)化的,也有開源的,甚至還包括自行開發(fā)的內(nèi)部工具。

例如GitHub的安全團隊喜歡使用Splunk分析日志,同時也使用ELK進行分析,數(shù)據(jù)分析方面還經(jīng)常使用Graphite。GitHub的應(yīng)用安全團隊還經(jīng)常使用Brakeman、Burp proxy以及大量定制化的代碼和工具。事件響應(yīng)方面GitHub的安全團隊喜歡使用Maltego進行調(diào)查,使用Cuckoo Sanbox進行惡意軟件分析,使用OSXCollector和Autopsy進行取證分析,同時還在研究Google的GRR項目在遠程取證方面的應(yīng)用。

未來的計劃:大量的自動化

正如GitHub中托管的不計其數(shù)的項目每天都會收到更新請求一樣,GitHub團隊每天也會收到大量關(guān)于GitHub本身的功能更新和改進請求,其中就有包括安全性方面的。

Roberts表示他接下來的工作重點就是將盡可能多的安全工作自動化?!拔业哪繕耸牵喝绻愕诙巫鐾瑯拥墓ぷ魇且环N巧合,但第三次做重復(fù)工作的時候你就應(yīng)當開動腦筋,看看能不能把這個任務(wù)自動化。我們用Hubot自動化了大量工作,Boxen提供了Hubber系統(tǒng)的自動化水平,而Puppet則負責服務(wù)器端的自動化。

在Roberts看來,安全團隊的***要務(wù)是應(yīng)急響應(yīng),為了更好地完成這個任務(wù),就必須確保不被一些相對簡單的事情牽扯過多精力。

原文地址:http://www.aqniu.com/neotech/secured-development/6445.html


分享名稱:GitHub給安全行業(yè)的四大啟示
路徑分享:http://www.dlmjj.cn/article/cocgoio.html