为什么建议企业备份源代码?
共 1387字,需浏览 3分钟
·
2022-01-26 10:19
随着企业数据安全问题的增长,企业备份GitLab、GitHub和BitBucket存储库尤为重要。
以前从未有组织处理过如此多的信息,或者更担心这些重要的数据会落入坏人之手。这种担忧适用于所有数据,尤其是他们赖以保持进程运行的源代码。
企业和个人都依赖GitHub、GitLab和BitBucket等平台来存储和管理他们的源代码,并保持他们的开发项目的运行。这些平台非常受欢迎:GitHub有超过7300万开发者和2亿个存储库,GitLab估计有3000万注册用户,BitBucket报告称2019年有1000万用户。
为什么要担心存储在这些平台上的源代码?
因为开发人员可能至少保留了几个项目在上面。近年来的一些攻击凸显了这一威胁:2019年的一次勒索软件攻击抹去了跨平台的Git源代码库,并用赎金要求取而代之。而且还存在宕机的风险,比如2020年6月GitHub宕机至少两个小时。
Netenrich安全人员表示,丢失源代码的代价很高。他表示,任何对企业至关重要的东西都应该进行备份。
公司不考虑备份源代码的原因有很多。可能是为了省钱,也可能认为自己的源代码不会受到攻击。还有一点,GitLab的高级安全工程师指出, 需要花钱的这些备份可能只有在出现安全风险时,才体现出其价值。在大多数情况下,备份只是在做一些看不到立竿见影的事情。
在每台计算机上存储库的工作副本不应该被视为备份,因为它通常只包含源代码,而不包含问题、评论、拉取请求和其他相关的元数据。nVisium的安全人员补充说,人们通常认为Git存储库或其他版本控制就足够了。版本控制虽然非常有用,但仍然只将代码存储在一个集中的位置。
公司应该知道哪些流程
源代码的备份可以采用多种形式。组织可以选择管理自己的备份,并获得相关基础设施、流程和维修成本的所有权。虽然这使他们能够更好地控制自己的数据,但从长远来看,由于在维护上花费的资源,成本可能会更高。
手动备份还涉及技术挑战。很难保持所有资产的一致性以使其可恢复到任何Git存储库,因为每个供应商都有自己的API、流程、注释和问题。API 请求速率限制带来了另一个障碍:通常Git备份与向Git提供者的API发送许多请求,它们必须限制在有限时间内发送的请求数量。
或者,他们可以寻求处理备份管理的第三方。在许多情况下,云服务可以帮助解决这个问题。
除了针对存储库的攻击和对这些平台的潜在破坏之外,还有许多威胁可能危及源代码。他补充说,人为错误以及对代码本身的不必要更改可能需要备份才能使流程恢复正常运行。
备份最佳实践
专家还建议将备份文件存储在安全的地方并加密。如果您正在运行一个多云环境,请在站点外或系统外备份。建议在现场保留几份副本,在场外保留一份,以防位置受到破坏。
无论您决定如何备份源代码,GitLab的Loveless都建议您进行安全测试。所有专家都同意仅备份源代码是不够的。测试代码安全性并确保它们工作正常也很重要。测试访问和使用备份的过程,以确保您可以使用它们,并确保相关的每个人都了解自己在发生攻击、中断或危害时的角色。
文章来源:
https://www.darkreading.com/dr-tech/source-code-security-the-case-for-making-backups