¿El uso de Git plantea un problema de seguridad válido? ¿Si es así, cómo? [cerrado]

Navega tus respuestas
0

Se trata de Git puro y simple ; NO las preocupaciones de seguridad de usar servicios de terceros como Github o Gitlab.

Mientras trabajaba en un proyecto de seguridad de código cerrado, durante una reunión, uno de los desarrolladores senior en un equipo hermano implicó que Git hace que el código sea menos seguro , especialmente con seguridad -Productos relacionados. Esto fue bastante impactante para mí, y francamente, no lo creo. (Y, sin embargo, este extraño punto de vista del desarrollador senior no se encontró con una clara e inmediata incredulidad por parte de los demás presentes). Este desarrollador senior no hizo más comentarios, y no funciona en el mismo lugar que yo; y es generalmente bastante inalcanzable. (Tampoco quiero que piense que estoy tratando de desacreditarlo, sino que busco entenderlo).

Y, por lo tanto, ahora cuestiono mi comprensión de la seguridad de Git, por muy infalible que sea.

¿Hay uno o más problemas de seguridad válidos, aunque sean poco claros, sobre el uso de Git?

    
pregunta NonCreature0714 29.05.2018 - 07:19
fuente

3 respuestas

5

Aparte del hecho de que git es un programa, y cualquier programa puede tener errores, el único problema que se me ocurre es el hecho de que git utiliza SHA-1, que recientemente se ha demostrado que es vulnerable a un ataque de colisión. que tiene cierto impacto en git . La transición de SHA-1 a un algoritmo más seguro y moderno es siendo discutido . Sin embargo, los ataques de colisión contra SHA-1 todavía son increíblemente difíciles de lograr. Además, las colisiones existentes se pueden detectar, como GitHub actualmente <.

En general, diría que el desarrollador senior no sabe de qué está hablando, o opina que git hace a los programadores "perezosos" (una opinión bastante común pero engañosa). O es posible que tenga la impresión incorrecta de que SHA-1 es vulnerable a los ataques de preimagen.

    
respondido por el forest 29.05.2018 - 07:35
fuente
3

Lo único en lo que puedo pensar que puede respaldar esta afirmación es: los errores con cabeza hueca son más costosos con git. Por ejemplo, si alguien confirma una contraseña o una clave privada en un repositorio de git, la única forma de eliminarlos es mediante la edición del historial de git. Ya que el historial de git se replica completamente con cada clon, esto significa que cualquier persona que ya haya clonado el repositorio con anterioridad se daría cuenta de que el historial de confirmación se ha editado la próxima vez que haga "git pull", y los curiosos pueden fácilmente descubrir lo que se estaba eliminando.

Este no es un argumento muy sólido en ningún caso, ya que de todos modos, las credenciales filtradas tendrían que ser revocadas inmediatamente.

    
respondido por el mricon 29.05.2018 - 16:27
fuente
0

Todo esto es puramente una opinión, pero diría que git tiene un beneficio de seguridad neto general. Si bien en cierto sentido agrega otro vector de amenaza y medios para que los malos accedan al código, es mucho mayor que la alternativa (excluyendo a los competidores como SVN que probablemente tengan sus propios problemas de seguridad). Imagine la pesadilla, tanto la seguridad como el flujo de trabajo, de tratar de administrar el código fuente manualmente. Sin mencionar el beneficio adicional de poder rastrear todos los cambios dentro del código y rastrear errores.

Me interesaría escuchar su alternativa.

    
respondido por el Mik Lik 29.05.2018 - 16:47
fuente

Lea otras preguntas en las etiquetas

¿CakePHP usa la misma sal para todos los usuarios? ¿es posible probar el host remoto usando nmap?