為什么建議企業(yè)備份源代碼?

隨著企業(yè)數(shù)據(jù)安全問(wèn)題的增長(zhǎng)，企業(yè)備份GitLab、GitHub和BitBucket存儲(chǔ)庫(kù)尤為重要。

以前從未有組織處理過(guò)如此多的信息，或者更擔(dān)心這些重要的數(shù)據(jù)會(huì)落入壞人之手。這種擔(dān)憂適用于所有數(shù)據(jù)，尤其是他們賴以保持進(jìn)程運(yùn)行的源代碼。

企業(yè)和個(gè)人都依賴GitHub、GitLab和BitBucket等平臺(tái)來(lái)存儲(chǔ)和管理他們的源代碼，并保持他們的開(kāi)發(fā)項(xiàng)目的運(yùn)行。這些平臺(tái)非常受歡迎：GitHub有超過(guò)7300萬(wàn)開(kāi)發(fā)者和2億個(gè)存儲(chǔ)庫(kù)，GitLab估計(jì)有3000萬(wàn)注冊(cè)用戶，BitBucket報(bào)告稱2019年有1000萬(wàn)用戶。

為什么要擔(dān)心存儲(chǔ)在這些平臺(tái)上的源代碼?

因?yàn)殚_(kāi)發(fā)人員可能至少保留了幾個(gè)項(xiàng)目在上面。近年來(lái)的一些攻擊凸顯了這一威脅：2019年的一次勒索軟件攻擊抹去了跨平臺(tái)的Git源代碼庫(kù)，并用贖金要求取而代之。而且還存在宕機(jī)的風(fēng)險(xiǎn)，比如2020年6月GitHub宕機(jī)至少兩個(gè)小時(shí)。

Netenrich安全人員表示，丟失源代碼的代價(jià)很高。他表示，任何對(duì)企業(yè)至關(guān)重要的東西都應(yīng)該進(jìn)行備份。

公司不考慮備份源代碼的原因有很多。可能是為了省錢(qián)，也可能認(rèn)為自己的源代碼不會(huì)受到攻擊。還有一點(diǎn)，GitLab的高級(jí)安全工程師指出， 需要花錢(qián)的這些備份可能只有在出現(xiàn)安全風(fēng)險(xiǎn)時(shí)，才體現(xiàn)出其價(jià)值。在大多數(shù)情況下，備份只是在做一些看不到立竿見(jiàn)影的事情。

在每臺(tái)計(jì)算機(jī)上存儲(chǔ)庫(kù)的工作副本不應(yīng)該被視為備份，因?yàn)樗ǔＶ话创a，而不包含問(wèn)題、評(píng)論、拉取請(qǐng)求和其他相關(guān)的元數(shù)據(jù)。nVisium的安全人員補(bǔ)充說(shuō)，人們通常認(rèn)為Git存儲(chǔ)庫(kù)或其他版本控制就足夠了。版本控制雖然非常有用，但仍然只將代碼存儲(chǔ)在一個(gè)集中的位置。

公司應(yīng)該知道哪些流程

源代碼的備份可以采用多種形式。組織可以選擇管理自己的備份，并獲得相關(guān)基礎(chǔ)設(shè)施、流程和維修成本的所有權(quán)。雖然這使他們能夠更好地控制自己的數(shù)據(jù)，但從長(zhǎng)遠(yuǎn)來(lái)看，由于在維護(hù)上花費(fèi)的資源，成本可能會(huì)更高。

手動(dòng)備份還涉及技術(shù)挑戰(zhàn)。很難保持所有資產(chǎn)的一致性以使其可恢復(fù)到任何Git存儲(chǔ)庫(kù)，因?yàn)槊總€(gè)供應(yīng)商都有自己的API、流程、注釋和問(wèn)題。API 請(qǐng)求速率限制帶來(lái)了另一個(gè)障礙：通常Git備份與向Git提供者的API發(fā)送許多請(qǐng)求，它們必須限制在有限時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)量。

或者，他們可以尋求處理備份管理的第三方。在許多情況下，云服務(wù)可以幫助解決這個(gè)問(wèn)題。

除了針對(duì)存儲(chǔ)庫(kù)的攻擊和對(duì)這些平臺(tái)的潛在破壞之外，還有許多威脅可能危及源代碼。他補(bǔ)充說(shuō)，人為錯(cuò)誤以及對(duì)代碼本身的不必要更改可能需要備份才能使流程恢復(fù)正常運(yùn)行。

備份最佳實(shí)踐

專家還建議將備份文件存儲(chǔ)在安全的地方并加密。如果您正在運(yùn)行一個(gè)多云環(huán)境，請(qǐng)?jiān)谡军c(diǎn)外或系統(tǒng)外備份。建議在現(xiàn)場(chǎng)保留幾份副本，在場(chǎng)外保留一份，以防位置受到破壞。

無(wú)論您決定如何備份源代碼，GitLab的Loveless都建議您進(jìn)行安全測(cè)試。所有專家都同意僅備份源代碼是不夠的。測(cè)試代碼安全性并確保它們工作正常也很重要。測(cè)試訪問(wèn)和使用備份的過(guò)程，以確保您可以使用它們，并確保相關(guān)的每個(gè)人都了解自己在發(fā)生攻擊、中斷或危害時(shí)的角色。

文章來(lái)源：

https://www.darkreading.com/dr-tech/source-code-security-the-case-for-making-backups