L'utilizzo di Git solleva un problema di sicurezza valido? Se é cosi, come? [chiuso]

Naviga le tue risposte
0

Si tratta di Git puro e semplice ; NON i problemi di sicurezza legati all'uso di servizi di terze parti come Github o Gitlab.

Mentre lavoravo a un progetto di sicurezza closed source, durante una riunione uno degli sviluppatori senior su un team affiliato sottintendeva che Git rende il codice meno sicuro , specialmente con la sicurezza -prodotti correlati. Questo è stato abbastanza scioccante per me sentire, e francamente, non ci credo. (Eppure questo strano punto di vista dello sviluppatore senior non è stato soddisfatto da una chiara e immediata incredulità da parte di altri presenti.) Questo sviluppatore senior non ha commentato ulteriormente, e non lavora nella stessa posizione di me; ed è generalmente piuttosto irraggiungibile. (Anche io non voglio che lui pensi che sto cercando di screditarlo, ma piuttosto cerco di capire.)

E così ora metto in dubbio la mia comprensione della sicurezza di Git, per quanto possa essere senza fondamento.

Esistono uno o più problemi di sicurezza validi, per quanto oscuri, sull'uso di Git?

    
posta NonCreature0714 29.05.2018 - 07:19
fonte

3 risposte

5

A parte il fatto che git è un programma, e qualsiasi programma può avere bug, l'unico problema che posso pensare è il fatto che git usa SHA-1, che è stato recentemente dimostrato vulnerabile a un attacco di collisione, che ha qualche impatto su git . La transizione da SHA-1 a un algoritmo più sicuro e moderno è being discusso . Tuttavia, gli attacchi di collisione contro SHA-1 sono ancora incredibilmente difficili da raggiungere. Inoltre, le collisioni esistenti possono essere rilevate, come GitHub attualmente .

In generale, direi che lo sviluppatore senior o non sa di cosa sta parlando, o è dell'opinione che git renda i programmatori "pigri" (un'opinione un po 'comune ma fuorviata). Oppure è possibile che abbia l'impressione errata che SHA-1 sia vulnerabile agli attacchi di pre-immagine.

    
risposta data 29.05.2018 - 07:35
fonte
3

L'unica cosa a cui posso pensare che possa supportare questa affermazione è: gli errori con la testa tagliata sono più costosi con git. Ad esempio, se qualcuno inserisce una password o una chiave privata in un repository git, l'unico modo per rimuovere questi commit è modificando la cronologia git. Poiché la cronologia git è completamente replicata con ogni clone, questo significa che chiunque abbia già clonato il repository in precedenza avrebbe notato che la cronologia del commit è stata modificata la prossima volta che eseguono "git pull" - e quelli curiosi possono quindi facilmente capire cosa è stato rimosso.

Questo non è un argomento molto strong, in ogni caso, perché tali credenziali trapelate dovrebbero essere immediatamente revocate comunque.

    
risposta data 29.05.2018 - 16:27
fonte
0

Questa è una pura opinione, ma direi che git ha un vantaggio complessivo nella sicurezza della rete. Mentre in un certo senso aggiunge un altro vettore di minaccia e significa che i malintenzionati possono accedere al codice, è molto più grande dell'alternativa (escludendo concorrenti come SVN che potrebbero avere i propri problemi di sicurezza). Immagina l'incubo, sia di sicurezza che di flusso di lavoro, di provare a gestire manualmente il codice sorgente. Per non parlare del vantaggio aggiunto di essere in grado di tracciare tutte le modifiche all'interno del codice e rintracciare i bug.

Sarei interessato a sentire la sua alternativa.

    
risposta data 29.05.2018 - 16:47
fonte

Leggi altre domande sui tag

Mantieni la chiave sensibile tra le richieste è possibile testare l'host remoto usando nmap?