《阿里云代码安全白皮书》5个维度应对3类代码安全问题
摘要:在互联网快速发展的时代,代码是企业最核心的资产,代码安全也是企业资产安全最重要部分;为了保护企业代码安全,各公司使出的手段也是五花八门。阿里云云效联合阿里云的代码安全能力从基础安全、备份与恢复、安全与加密、审计与洞察、代码安全检测5个维度,达成「进不来」、「搞不坏」、「译不破」、「带不走」、「赖不掉」的效果。
企业的代码安全作为最重要的数字资产之一,企业和开发者在解决开源依赖包漏洞代码安全问题的同时,还需要考虑如何更全面地保障自己的代码数据安全。那么有哪些安全问题值得我们关注呢?
第一种,编码中自引入风险漏洞
例如:
● 源码编码安全策略问题,如弱加密函数、不安全SSL、Json注入、LDAP操纵、跨站点请求伪造等; ● 敏感信息如 Token、密码等明文泄露 ● 引入不安全的二方、三方依赖包
第二种,代码数据丢失或泄漏
如员工恶意或手误删除代码数据、非核心技术人访问权限不明导致核心数据泄露等。
第三种,来自外部黑客攻击
如存在基础设施、组件漏洞导致的被攻击损失。
在如此危机四伏的环境下,云效代码管理平台 Codeup 如何保障企业代码资产安全?
阿里云云效联合阿里云的代码安全能力从基础安全、备份与恢复、安全与加密、审计与洞察、代码安全检测5个维度来应代码安全问题,保障编码环节代码安全。
基础设施安全确保“进不来”
云效系统完整部署在阿里云基础设施上,保证高度自动化的运维与安全。
- 系统部署在阿里云独立 VPC 中,应用层服务、数据服务均具备双机房容 灾能力,支持分钟级切换到备用机房并提供服务,整个网络环境受阿里云 统一管控;
- 服务器使用阿里云的 ECS,稳定可靠;
- 系统及中间件都采用集群化服务,具备弹性伸缩能力;
- 数据库及中间件均采用阿里云安全认证的云产品,包括 RDS、RocketMQ、 OSS 等;
云效应用安全
阿里云应用安全已形成一套规范的阿里云应用安全开发规范体系,全面覆盖云效 业务,云效的源码经过严格的安全审核,安全检查覆盖静态资源、前端应用、后 端应用、OpenAPI 等,覆盖密码安全、虚拟化安全、应用安全等多个维度。
数据存储安全
云效面向企业级用户,数据存储安全至关重要。存储加密、多地容灾等保障企业 数据存储的安全性。
数据传输安全
云效为用户访问(包括读取和上传)数据ᨀ供了套接层协议(SSL/TLS)来ᨀ升数 据传输的安全性,保障数据在传输过程中无法被解密和篡改。
多副本备份和恢复确保“搞不坏”
代码库存储安全
- 云效Codeup 在底层存储节点上对代码库进行哈希散列处理,从而避免存储节 点由于仓库分布不均匀而成为热点;
- 针对单个节点可能存储大库而导致热点的问题, Codeup 通过多副本的方 式对单个节点的请求进行负载均衡,根据实际流量可以实时进行弹性扩容 /缩容;
- 仓库数据的备份策略为多份热备份+1 份冷备份,其中热备份至少会存在 2 份,冷备份数据存储全量数据快照;
对接阿里云高防产品
服务端支持对异常请求的 IP 进行限流、熔断操作,同时 HTTP 请求强制跳转为 HTTPS 协议请求。
云效Codeup 接入阿里云盾高防系统,能够抵御流量攻击和 CC 等 DDos 分布式拒绝 服务攻击,包括如下功能:
功能 |
子功能 |
描述 |
攻击防护类型 |
畸形报文过滤 |
过滤 frag flood, smurf,stream flood, land flood 攻击 |
攻击防护类型 |
畸形报文过滤 |
过滤 IP 畸形包、 TCP 畸形包、UDP 畸 形包 |
攻击防护类型 |
攻击防护类型 传输层 DDoS 攻击防 护 |
过滤 Syn flood,Ack flood, |
攻击防护类型 |
攻击防护类型 Web 应用 DDoS 攻击 防护 |
过滤 HTTP Get flood,HTTP Post flood,高频攻击等攻 击,支持 HTTP 特征 过滤、URI 过滤、 host 过滤 |
行为管控与加密确保“译不破”
云效从多方面为企业ᨀ供安全功能特性,时刻守卫企业资产安全。
事前防控
- IP 白名单:限定特定 IP 段允许访问企业代码库,非 IP 白名单内的访 问(代码库克隆、下载、ᨀ交、合并等操作行为)均会被阻止。
- 离职用户权限清理:和钉钉企业绑定后,员工从钉钉企业离职,自动回收 权限。
- 多级精细化权限管控:多角色权限分级,权限清晰明确。
- 下载控制:限制代码库的克隆下载操作。
事中预警
- 安全通知:针对代码库删除和公开性调整事件,ᨀ供及时通知机制,帮助 企业管理者第一时间识别风险。
事后追溯
- 提供库级别、代码级别和企业管理级别完备的审计日志,帮助企业管理者 追溯问题和责任。
审计和洞察追踪确保事后“带不走”
- 离职用户权限清理:和钉钉企业绑定后,员工从钉钉企业离职,自动回收 权限;
- 多级精细化权限管控:多角色权限分级,权限清晰可控;
- 审计日志:危险行为计入日志,支持审计追溯;
代码安全检测确保“赖不掉”
云效 Codeup 通过事前防控、事中预警、事后追溯机制,从用户行为安全、代码 内容安全为企业代码资产安全保驾护航。
用户行为安全
- 回收站:延迟删除代码资源,无论是恶意删除还是手误反悔,都可以在回 收站有效期内一键恢复。
- 敏感行为监测:通过智能化算法评估企业成员的异常行为,帮助企业管理 者感知风险,及时止损。
代码内容安全
敏感信息报表宏观呈现企业内敏感信息分布情况,帮助企业管理者推动开 发者ᨀ升代码质量,降低企业敏感信息泄露风险。
- 「敏感信息检测」服务,全面扫᧿代码中隐藏的敏感信息问题,防止企业 隐私信息泄露。
- 「依赖包漏洞检测」服务,及时检查编码依赖项漏洞,帮助企业保证工程 依赖包的安全性。
- 基于云效流水线 Flow,支持灵活扩展更多安全检测能力。
- 自动化检测、人工评审都可作为代码合并卡点,管控危险代码禁止合入主 干环境。
- GPG 签名确保ᨀ交记录或者标签来自受信任的来源。
用户隐私
我们致力于保护您的数据隐私,防止未经授权的访问。
严格控制访问权限 ,除非出于支持原因需要,并且只有在企业通过支持申请单要求云效ᨀ供技术支持 时,云效支持人员才能访问您的企业。 处理支持问题时,我们将努力尽可能地尊重您的隐私。
验证帐户所有权后,我们将仅访问解决问题所需的文件和设置。支持可能会登录 您的帐户以访问配置,但我们会将审查的范围限制在解决您的问题所需的最小范 围内。
此政策有两个例外情况:您的行为违反了我们的服务条款,或者我们因法律要求 ᨀ供数据。
总结
云效通过了公安部网络安全等级保护 2.0 三级认证、ISO 27001 信息安全管理 体系标准认证、ISO 9001 质量管理体系认证,标志着云效安全实践达到国内外 相关权威机构的安全标准要求,用户使用云效的数据保密性、完整性、可用性和 隐私性已经与国内外最佳实践对标,且得到独立第三方安全认证
云效始终坚持客户第一的原则,通过各项安全控制措施,加强安全体系建设,积 极拥抱国内外安全监管,规范内部安全运营活动,在充分考虑客户权益的基础上 构建了兼具安全和合规性的解决方案。
踏云而上日行千里,在客户业务快速发展的背后,云效将不遗余力地保障您的研 发资产安全,同时带给您和团队流畅便捷的云上体验。
原文链接
本文为阿里云原创内容,未经允许不得转载。
《阿里云代码安全白皮书》5个维度应对3类代码安全问题相关推荐
- 阿里云服务器ECS centos7.4搭建nginx环境部署静态代码
阿里云服务器ECS centos7.4搭建nginx环境部署静态代码 欢迎来到新手如何通过阿里云服务器部署静态网站 作为一个前端开发,第一次部署自己的私人网站,没有经验,战战兢兢,但是没有办法,成为全 ...
- 阿里云HBase发布冷存储特性,助你不改代码,1/3成本轻松搞定冷数据处理
9月27日,阿里云HBase发布了冷存储特性.用户可以在购买云HBase实例时选择冷存储作为一个附加的存储空间,并通过建表语句指定将冷数据存放在冷存储介质上面,从而降低存储成本.冷存储的存储成本仅为高 ...
- C# 阿里云对象存储OSS创建、删除、上传代码实现
一.开始接入 1.Nuget安装Aliyun.OSS.SDK: 2.代码实现: /// <summary> /// 阿里云对象存储服务 /// </summary> publi ...
- 阿里云正式发布小程序Serverless 为用户提供一套代码多端使用
8月14日,阿里云宣布正式推出小程序Serverless,阿里云小程序Serverless提供包括云函数.数据存储.文件存储等一整套后端服务开发套件,以及集成了经济体业务能力API的业务套件.开发者通 ...
- 阿里云OSS对象存储STS鉴权配置以及JAVA-SDK代码
STS鉴权流程 1.创建RAM子用户 在控制台完成,只能由子用户申请角色扮演,主用户.临时用户不可以.子用户必须授予AliyunSTSAssumeRoleAccess系统权限后,才能申请角色扮演进行临 ...
- 【阿里云短信验证码】麻瓜教程~~~从注册---申请---代码---执行
阿里云短信验证码 当然啦,学习任何东西第一步就是去注册当前网站的账号. 阿里云的官网:https://www.aliyun.com/?utm_content=se_1008364713 ◆[1.先注册 ...
- 阿里云短信服务详细说明与实战开发后端代码
文章目录 1.短信服务背景 2.短信发送流程 3.阿里云短信服务基本说明 3.1 开通阿里云短信服务与购买短信套餐包 3.2 短信服务帮助文档 3.3 手机短信模板介绍 3.3.1 基本说明 3.3. ...
- 阿里云POLARDB如何帮助百胜软件应对数据库的“巅峰时刻”
POLARDB是阿里云自研的下一代关系型云数据库,100%兼容MySQL,存储容量最高可达100TB,性能最高提升至MySQL的6倍,适用于企业多样化的数据库应用场景.POLARDB采用存储和计算分离 ...
- Py函数直接传入root是啥意思_阿里云python课程笔记(四):函数amp;类和对象
接阿里云python课程笔记(三):数据结构 我们讨论一下python中的深拷贝和浅拷贝 dic1 = {'user': 'lsgogroup', 'num': [1, 2, 3]}# 引用对象dic ...
最新文章
- 深入理解C#第三版部分内容
- 50个国内外最棒的C/C++源码站点分享
- 基于MATLAB的小波收缩法信号去噪
- SQLite在C#的使用
- 苹果电脑怎么设置佳博标签打印机_自动接单、打印快,手动调节音量,佳博推出后厨专用智能打印机...
- java web ssh启动运行程序_[javaweb开发SSH] myeclipse启动tomcat时的bug
- LeetCode MySQL 1107. 每日新用户统计
- python从txt读取数据并画图_Python读取txt某几列绘图的方法
- Linux 内核 5.4 将于 11月24 日 发布,Linux 5.4-rc8 已可用于公测
- java frame的使用方法_java内部窗体internalFrame的使用方法
- “围棋人机大战”唯一人类的胜利记录将被制作成NFT进行拍卖
- xml格式报文的拼装,和解析成实体类
- (转)Managed DirectX +C# 开发(入门篇)(八)
- DeepStream插件Gstreamer(一):插件汇总
- paip.刮刮卡砸金蛋抽奖概率算法跟核心流程.
- ORACLE在线切换undo表空间
- 三维地理信息系统空间的可视化分析
- matlab曲线导入cad,MATLAB导入CAD数据
- STM32自举程序原理和使用
- php文件打开老是自动下载