注册    登录
创作新主题
社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
分享
问与答   闲聊   招聘   翻译   创业   分享发现   分享创造   求职   区块链   支付之战  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
关注
Py学习  »  Git

如何使用Legitify保护你的GitHub组织资产安全

FreeBuf • 2 年前 • 376 次点击  


 关于Legitify 


 是一款针对GitHub组织资产的安全增强工具,该工具由LegitSecurity开发和维护,可以帮助广大研究人员或IT技术人员轻松检测和缓解GitHub资产中潜在的各种错误配置、安全问题以及合规性等问题。

 工具安装


发布版本安装


我们可以直接访问该项目的【Releases页面】下载最新版本的Legitify。其中将包含下列文档:

1、对应平台的Legitify源代码;

2、Legit Security提供的内置安全策略;


源码安装


除此之外,广大研究人员也可以使用下列命令将该项目源码克隆至本地:

git clone git@github.com:Legit-Labs/legitify.git
(向右滑动、查看更多)


然后运行main.go文件即可。


 工具要求 


1、为了最大程度地发挥Legitify的功能,我们至少要是一个GitHub组织的拥有者或者至少是一个组织内GitHub库的管理员,但如果你只是一个管理员的话,你只能查看到跟这个代码库相关的安全策略分析结果;


2、Legitify需要使用一个GitHub个人访问令牌(PAT)来分析你提供的资源,可以通过-t参数或$GITHUB_ENV环境变量来提供,PAT要求拥有下列权限范围:

admin:org, read:enterprise, admin:org_hook, read:org, repo, read:repo_hook
(向右滑动、查看更多)


 工具使用 

LEGITIFY_TOKEN= legitify analyze
右滑动、查看更多


默认配置下,Legitify将会使用安全策略检查你所有的资源(组织、代码库、成员和Action)。


你可以使用命令行参数来控制需要检测和分析的资源:

--namespace (-n):该参数将分析和指定资源相关的安全策略;

--org:该参数将限制分析指定的组织;

LEGITIFY_TOKEN= legitify analyze --org org1,org2 --namespace organization,member
右滑动、查看更多


上述命令将会测试org1和org2的组织和成员策略。


GitHub Enterprise支持

export SERVER_URL="https://github.example.com/"LEGITIFY_TOKEN= legitify analyze --org org1,org2 --namespace organization,member
右滑动、查看更多


GitLab Cloud/Server支持

export SERVER_URL="https://gitlab.example.com/"LEGITIFY_TOKEN= legitify analyze --namespace organization --scm gitlab
右滑动、查看更多


 工具输出 


默认配置下,Legitify支持输出可读格式的输出,也可以指定输出格式或输出机制。


输出格式

命令参数:--output-format (-f)

可选项包括:

1、human-readable;

2、json

 安全策略 


Legitify自带的安全策略集存储在项目的policies/github目录中,这些策略可以点击 https://legitify.dev/policies.html 查看。


除此之外,我们还可以使用“--policies-path (-p)”参数来为OPA策略指定一个自定义目录。


 工具使用演示 


视频地址

https://user-images.githubusercontent.com/74864790/178964716-825840a6-d714-4b1d-a41e-efa2728507a6.mp4


 许可证协议 


本项目的开发与发布遵Apache-2.0开源许可证协议。


 项目地址 


Legitifyhttps://github.com/Legit-Labs/legitify


参考资料:

https://www.legitsecurity.com/


https://github.com/slsa-framework/slsa-github-generator/blob/main/internal/builders/generic/README.md


https://github.com/slsa-framework/slsa-verifier


https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/creating-a-personal-access-token


https://github.blog/2022-10-18-introducing-fine-grained-personal-access-tokens-for-github/


https://legitify.dev/policies.html



精彩推荐








Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/150463
Reply
 
376 次点击  
登录后回复
关于   移动版
Py学习 - 专注于Python技术发展的社区(原Django社区)
沪ICP备11025650号