Quiero instalar un servidor Git para mi empresa. Soy capaz de obtener una máquina virtual de Windows. Ahora me han pedido que evalúe sus aspectos de seguridad. Estoy perdido en cómo lograr este objetivo.
Como se trata de una máquina virtual de Windows, estaré usando esto .
¿Hay una manera de evaluar el riesgo de seguridad?
Hay marcos de riesgo de seguridad ( STRIDE , DREAD y otros) que puede aplicar para obtener un enfoque sistemático para evaluar riesgos y amenazas.
TFS es una solución de Microsoft que implementa una especie de Git (según mi experiencia, no creo que sea una integración de Git pura, pero puedo estar equivocado). Ofrecen valioso recursos para seguridad, así que vale la pena echarle un vistazo.
Hay varias cosas a considerar cuando se habla de seguridad en Git, y es necesario definir los requisitos para este aspecto. Por ejemplo, en Git, todas las personas con acceso a un repositorio pueden descargar todos los archivos de ese repositorio (esto es independiente de la herramienta que utilice para administrar el repositorio). Reciben una copia completa de todo lo que hay allí. Es posible que deba definir varios repositorios, dependiendo del tipo de proyectos con los que trabajará.
Las copias de seguridad pueden ser más fáciles de realizar en una máquina virtual, pero quizás necesite una política de copia de seguridad para garantizar la integridad y disponibilidad de los datos.
También es posible que desee considerar los métodos de autenticación. Al ser un entorno Windows, incluso puede elegir compartir la carpeta Git dentro de su dominio y administrarla con permisos de usuario, pero tenga en cuenta que el rendimiento puede verse afectado por esto (Git crea muchos objetos). Parece que también hay Directorios Activos, LDAP y PAM para ciertos administradores .
Tema paralelo: los PenTestPartners publican “ Extracción de Git: abuso de los sistemas de control de versiones "es interesante porque muestra un ataque que roba objetos Git. Ofrece algunas preocupaciones sobre el acceso a los archivos de configuración.