保护对包源的访问
受信任的源
包源是包的受信任源。 提供的包将供其他代码库使用,并用于生成需要保证安全的软件。
想象一下,如果包源在其包中提供恶意组件,会发生什么情况。
将包安装到其开发计算机或生成服务器上时,每个使用者都会受到影响。
由于恶意组件将作为代码的一部分执行,因此在运行最终产品的任何其他设备上也会发生这种情况。
通常,代码以高权限运行,如果任何包不可信并且可能包含不安全代码,则会带来很大的安全风险。
保护访问权限
必须保护包源以供授权帐户访问,因此仅将已验证的和受信任的包存储在该位置。
如果没有适当的角色和权限,不应将包推送到源。
它会防止其他人推送恶意包。 它仍假定可以推送包的人员只会添加安全可靠的包。
尤其是在开源世界,它由社区完成。 包源可以使用安全和漏洞扫描工具进一步保护其源。
此外,包的使用者可以使用类似的工具自行执行扫描。
保护可用性
包源安全性的另一个方面是包的公共或专用可用性。
公共源的源可供匿名使用。
大多数情况下,专用源的访问受限。
它适用于包的使用和发布。 专用源将只允许特定角色或团队的用户访问其包。
出于各种原因,包源需要具有安全访问权限。
访问应涉及允许:
- 限制使用访问权限 - 每当特定受众只应使用包源及其包时,便需要限制其访问。 只有那些被允许访问的人员才能使用源中的包。
- 限制发布访问权限 - 需要安全访问来限制可进行发布的人员,以便源和未经授权或不受信任的人员及帐户无法修改其包。