Legitify: сканер с открытым кодом для проверки настроек безопасности на GitHub и GitLab

Неправильно настроенные системы управления исходным кодом остаются частой точкой входа в атаках на цепочку поставок программного обеспечения, и организации часто не имеют представления о том, какие именно настройки подвергают их риску. Legitify, инструмент с открытым исходным кодом от Legit Security, устраняет этот пробел, сканируя окружения GitHub и GitLab и сообщая о нарушениях политик на уровне организаций, репозиториев, участников и групп CI/CD-раннеров.

Что проверяет инструмент

Legitify анализирует конфигурации в пяти областях: настройки на уровне организации, конфигурации GitHub Actions, учетные записи участников, репозитории и группы раннеров. Примеры проверок включают: включена ли двухфакторная аутентификация для всей организации, ограничены ли запуски GitHub Actions проверенными действиями, существуют ли неактивные администраторы, а также установлены ли требования к ревью кода для репозиториев.

По умолчанию инструмент сканирует все области, но пользователи могут сузить область проверки с помощью флагов командной строки, указав конкретные организации, репозитории или типы областей. Архивированные репозитории пропускаются, если они не указаны явно.

Результаты и интеграция

Результаты сканирования можно экспортировать в удобочитаемом текстовом формате, а также в форматах JSON или SARIF. Вывод в формате SARIF позволяет передавать результаты в инструменты сканирования кода и панели мониторинга безопасности, поддерживающие этот стандарт. Результаты также можно группировать по области, ресурсу или уровню серьезности.

Legitify работает как автономный инструмент командной строки или как действие GitHub Action, что делает возможным регулярное сканирование в рамках существующих CI-процессов.

Интеграция с Scorecard

Legitify интегрируется с проектом Scorecard от Open Source Security Foundation для репозиториев GitHub. При включении этой функции инструмент запускает проверки Scorecard для всех репозиториев в организации и помечает те, чей рейтинг ниже 7.0. В подробном режиме вывод Scorecard включается непосредственно в вывод Legitify. Интеграция охватывает проверки, включая защиту веток, ревью кода, инструменты обновления зависимостей, закрепленные зависимости, опасные рабочие процессы, SAST, разрешения токенов и обнаружение уязвимостей, среди прочих. Некоторые проверки применяются только к публичным репозиториям.

Требования к платформе и ограничения

На GitHub для эффективной работы Legitify требуются права владельца организации. Пользователи с правами администратора для отдельных репозиториев могут запускать инструмент для этих репозиториев и получать результаты на уровне репозитория. Инструменту требуется персональный токен доступа GitHub с областями, включающими admin:org, read:enterprise, admin:org_hook, read:org, repo и read:repo_hook. Детализированные персональные токены доступа не поддерживаются.

На GitLab инструмент работает как с GitLab Cloud, так и с самоуправляемыми экземплярами GitLab Server. Для аккаунтов GitLab без премиум-подписки некоторые политики будут пропущены, включая политики защиты веток. Для сканирования GitLab требуется флаг --scm gitlab и персональный токен доступа с областями read_api, read_user, read_repository и read_registry.

Legitify доступен на GitHub.

Обязательно к прочтению:

  • 40 инструментов с открытым исходным кодом, меняющих подход команд безопасности к защите стека
  • Время сканирования прошивки, стоимость и где команды запускают EMBA

Подпишитесь на ежемесячную рассылку Help Net Security без рекламы, чтобы быть в курсе важнейших инструментов кибербезопасности с открытым исходным кодом. Подписаться можно здесь!

LegitifyGitHub SecurityGitLab SecuritySupply Chain SecuritySASTCI/CD Security