《阿里云代码安全白皮书》5个维度应对3类代码安全问题

简介: 在互联网快速发展的时代,代码是企业最核心的资产,代码安全也是企业资产安全最重要部分;为了保护企业代码安全,各公司使出的手段也是五花八门。阿里云云效联合阿里云的代码安全能力从基础安全、备份与恢复、安全与加密、审计与洞察、代码安全检测5个维度,达成「进不来」、「搞不坏」、「译不破」、「带不走」、「赖不掉」的效果。

摘要:在互联网快速发展的时代,代码是企业最核心的资产,代码安全也是企业资产安全最重要部分;为了保护企业代码安全,各公司使出的手段也是五花八门。阿里云云效联合阿里云的代码安全能力从基础安全、备份与恢复、安全与加密、审计与洞察、代码安全检测5个维度,达成「进不来」、「搞不坏」、「译不破」、「带不走」、「赖不掉」的效果。

image.png

企业的代码安全作为最重要的数字资产之一,企业和开发者在解决开源依赖包漏洞代码安全问题的同时,还需要考虑如何更全面地保障自己的代码数据安全。那么有哪些安全问题值得我们关注呢?

第一种,编码中自引入风险漏洞

例如:

● 源码编码安全策略问题,如弱加密函数、不安全SSL、Json注入、LDAP操纵、跨站点请求伪造等;
● 敏感信息如 Token、密码等明文泄露
● 引入不安全的二方、三方依赖包

第二种,代码数据丢失或泄漏

如员工恶意或手误删除代码数据、非核心技术人访问权限不明导致核心数据泄露等。

第三种,来自外部黑客攻击

如存在基础设施、组件漏洞导致的被攻击损失。

在如此危机四伏的环境下,云效代码管理平台Codeup如何保障企业代码资产安全?

阿里云云效联合阿里云的代码安全能力从基础安全、备份与恢复、安全与加密、审计与洞察、代码安全检测5个维度来应代码安全问题,保障编码环节代码安全。

基础设施安全确保“进不来”

云效系统完整部署在阿里云基础设施上,保证高度自动化的运维与安全。

  • 系统部署在阿里云独立VPC中,应用层服务、数据服务均具备双机房容灾能力,支持分钟级切换到备用机房并提供服务,整个网络环境受阿里云 统一管控;
  • 服务器使用阿里云的 ECS,稳定可靠;
  • 系统及中间件都采用集群化服务,具备弹性伸缩能力;
  • 数据库及中间件均采用阿里云安全认证的云产品,包括 RDS、RocketMQ、 OSS 等;

云效应用安全

阿里云应用安全已形成一套规范的阿里云应用安全开发规范体系,全面覆盖云效 业务,云效的源码经过严格的安全审核,安全检查覆盖静态资源、前端应用、后 端应用、OpenAPI 等,覆盖密码安全、虚拟化安全、应用安全等多个维度。

数据存储安全

云效面向企业级用户,数据存储安全至关重要。存储加密、多地容灾等保障企业数据存储的安全性。

数据传输安全

云效为用户访问(包括读取和上传)数据提供了套接层协议(SSL/TLS)来提升数据传输的安全性,保障数据在传输过程中无法被解密和篡改。

多副本备份和恢复确保“搞不坏”

代码库存储安全

  • 云效Codeup 在底层存储节点上对代码库进行哈希散列处理,从而避免存储节点由于仓库分布不均匀而成为热点;
  • 针对单个节点可能存储大库而导致热点的问题,云效Codeup通过多副本的方式对单个节点的请求进行负载均衡,根据实际流量可以实时进行弹性扩容 /缩容;
  • 仓库数据的备份策略为多份热备份+1份冷备份,其中热备份至少会存在2份,冷备份数据存储全量数据快照;

对接阿里云高防产品

服务端支持对异常请求的IP进行限流、熔断操作,同时HTTP请求强制跳转为HTTPS协议请求。

云效Codeup接入阿里云盾高防系统,能够抵御流量攻击和CC等DDos分布式拒绝服务攻击,包括如下功能:

功能 子功能 描述
攻击防护类型 畸形报文过滤 过滤 frag flood, smurf,stream flood, land flood 攻击
攻击防护类型 畸形报文过滤 过滤 IP 畸形包、 TCP 畸形包、UDP 畸 形包
攻击防护类型 攻击防护类型 传输层 DDoS 攻击防 护 过滤 Syn flood,Ack flood,
攻击防护类型 攻击防护类型 Web 应用 DDoS 攻击 防护 过滤 HTTP Get flood,HTTP Post flood,高频攻击等攻击,支持HTTP特征 过滤、URI 过滤、host过滤

行为管控与加密确保“译不破”

云效从多方面为企业提供安全功能特性,时刻守卫企业资产安全。

事前防控

  • IP 白名单:限定特定IP段允许访问企业代码库,非IP白名单内的访问(代码库克隆、下载、提交、合并等操作行为)均会被阻止。
  • 离职用户权限清理:和钉钉企业绑定后,员工从钉钉企业离职,自动回收权限。
  • 多级精细化权限管控:多角色权限分级,权限清晰明确。
  • 下载控制:限制代码库的克隆下载操作。

事中预警

  • 安全通知:针对代码库删除和公开性调整事件,提供及时通知机制,帮助企业管理者第一时间识别风险。

事后追溯

  • 提供库级别、代码级别和企业管理级别完备的审计日志,帮助企业管理者 追溯问题和责任。

审计和洞察追踪确保事后“带不走”

  • 离职用户权限清理:和钉钉企业绑定后,员工从钉钉企业离职,自动回收 权限;
  • 多级精细化权限管控:多角色权限分级,权限清晰可控;
  • 审计日志:危险行为计入日志,支持审计追溯;

代码安全检测确保“赖不掉”

云效 Codeup通过事前防控、事中预警、事后追溯机制,从用户行为安全、代码 内容安全为企业代码资产安全保驾护航。

用户行为安全

  • 回收站:延迟删除代码资源,无论是恶意删除还是手误反悔,都可以在回收站有效期内一键恢复。
  • 敏感行为监测:通过智能化算法评估企业成员的异常行为,帮助企业管理者感知风险,及时止损。

代码内容安全

敏感信息报表宏观呈现企业内敏感信息分布情况,帮助企业管理者推动开发者提升代码质量,降低企业敏感信息泄露风险。

  • 「敏感信息检测」服务,全面扫描代码中隐藏的敏感信息问题,防止企业 隐私信息泄露。
  • 「依赖包漏洞检测」服务,及时检查编码依赖项漏洞,帮助企业保证工程 依赖包的安全性。
  • 基于云效流水线 Flow,支持灵活扩展更多安全检测能力。
  • 自动化检测、人工评审都可作为代码合并卡点,管控危险代码禁止合入主 干环境。
  • GPG 签名确保提交记录或者标签来自受信任的来源。

用户隐私

我们致力于保护您的数据隐私,防止未经授权的访问。

严格控制访问权限,除非出于支持原因需要,并且只有在企业通过支持申请单要求云效提供技术支持时,云效支持人员才能访问您的企业。处理支持问题时,我们将努力尽可能地尊重您的隐私。

验证帐户所有权后,我们将仅访问解决问题所需的文件和设置。支持可能会登录您的帐户以访问配置,但我们会将审查的范围限制在解决您的问题所需的最小范 围内。

此政策有两个例外情况:您的行为违反了我们的服务条款,或者我们因法律要求 提供数据。

总结

云效通过了公安部网络安全等级保护2.0三级认证、ISO 27001信息安全管理 体系标准认证、ISO 9001 质量管理体系认证,标志着云效安全实践达到国内外 相关权威机构的安全标准要求,用户使用云效的数据保密性、完整性、可用性和 隐私性已经与国内外最佳实践对标,且得到独立第三方安全认证

云效始终坚持客户第一的原则,通过各项安全控制措施,加强安全体系建设,积极拥抱国内外安全监管,规范内部安全运营活动,在充分考虑客户权益的基础上构建了兼具安全和合规性的解决方案。

踏云而上日行千里,在客户业务快速发展的背后,云效将不遗余力地保障您的研 发资产安全,同时带给您和团队流畅便捷的云上体验。

云效Codeup提供的安全能力还有很多,在访问安全、数据可信、审计风控、存储安全等角度全方位保障企业代码资产安全,如果你开始重视代码安全这件事,不妨立即前往云效Codeup开始探索。点击下方链接,即可免费体验云效代码管理 Codeup

立即体验

参考阅读:

云效安全哪些事儿-Codeup代码智能安全检测服务
安全那些事儿-数据回收站&代码备份
揭秘!业界创新的代码仓库加密技术
Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

lQLPDhtDba1KT2_NBDjNB4CwgwE-eOLUK_gCPyXeUECTAA_1920_1080.png

相关文章
|
2天前
|
人工智能 分布式计算 数据可视化
大模型私有化部署全攻略:硬件需求、数据隐私、可解释性与维护成本挑战及解决方案详解,附示例代码助你轻松实现企业内部AI应用
【10月更文挑战第23天】随着人工智能技术的发展,企业越来越关注大模型的私有化部署。本文详细探讨了硬件资源需求、数据隐私保护、模型可解释性、模型更新和维护等方面的挑战及解决方案,并提供了示例代码,帮助企业高效、安全地实现大模型的内部部署。
9 1
|
3月前
|
监控 NoSQL 安全
质量标准化实践问题之资源投入评估环节需要遵守的规范内容如何解决
质量标准化实践问题之资源投入评估环节需要遵守的规范内容如何解决
42 2
|
4月前
|
监控 安全 数据挖掘
简析漏洞生命周期管理的价值与关键要求
定期呈递给组织管理层的漏洞管理报告总结了当前的安全状况,突出了需要关注和改进的方面。这类报告确保高层全面了解漏洞威胁情况,并参与安全工作,为决策提供清晰简明的洞察力。这包括突出关键度量指标、列出战略性洞察力以及力求与业务目标相一致。
|
6月前
|
监控 安全 网络安全
网络安全行为可控定义以及表现内容简述
网络安全行为可控定义以及表现内容简述
89 1
|
6月前
|
存储 数据库
工单系统的作用与优势!为什么企业需要它?
**工单系统是管理任务和请求的软件,如ZohoDesk,能提升生产力、提供透明度、增强客户满意度、优化资源分配和促进协作。ZohoDesk工单系统特点包括直观界面、高度可定制、多渠道支持、强大集成能力和报告功能,适合不同规模的组织。**
120 1
|
6月前
|
机器学习/深度学习 算法 API
视觉智能平台常见问题之算法私有化部署交付给公司内部运行如何解决
视觉智能平台是利用机器学习和图像处理技术,提供图像识别、视频分析等智能视觉服务的平台;本合集针对该平台在使用中遇到的常见问题进行了收集和解答,以帮助开发者和企业用户在整合和部署视觉智能解决方案时,能够更快地定位问题并找到有效的解决策略。
116 1
|
6月前
|
安全
软件开发外包风险如何避免,参考如下安全低风险的开发合作模式
在当今人力成本日渐增高的商业环境中,外包软件开发已成为许多企业的首选。然而,如何确保外包过程中的安全性与低风险性,成为众多企业在选择合作伙伴时的重要考量因素。以东莞梦幻网络科技公司为例,他们在外包软件开发服务中采取了一系列有效措施,成功构建了一套兼顾双方权益、保证项目顺利进行的安全低风险合作模式。
「业务架构」定义业务能力-备忘单
「业务架构」定义业务能力-备忘单
|
6月前
|
存储 运维 监控
安全防御四部曲---检测实践方案 (多产品结合)
本次方案主要是针对阿里云国际站客户,企业在实际使用阿里云的过程中如何做好运维检测的一些多产品结合的方案介绍。 本篇文章的重点会放在检测(Detection)部分,会具体介绍涉及使用产品配置,FAQ等等,同时对整体的理论框架进行简单的介绍,帮助大家更好理解本部分在运维工作中的分属情况,更好的建立整体性的概念。
358 2
安全防御四部曲---检测实践方案 (多产品结合)
|
数据采集 运维 安全
谈谈如何评估数据资产的价值​
数据是需要管理、部署和评估的业务资产。
谈谈如何评估数据资产的价值​