如何用 Python 手撸一个 GitLab 代码安全审计工具?
本文分享了极狐GitLab 的代码安全审计 & 审计事件流功能,而且演示如何用 Python 编写一个安全审计流接收器,通过接收安全审计日志并分析后发出通知。
极狐GitLab 为 GitLab 中文发行版,中文版本对中国用户更友好,可以一键私有化部署,也可以直接使用 SaaS(JihuLab.com)。本文讲述的安全审计 & 审计事件流属于专业版 & 旗舰版功能。可以申请 60 天专业版免费试用来体验该功能功能。
本文内容比较丰富,主要分为以下几个部分:
- 关于代码安全审计
- 极狐GitLab 安全审计
- 极狐GitLab 安全审计流
- 用 Python 构建审计流目的地接受器
- 结束语
- 代码附录
代码安全审计
所谓代码安全审计,就是对代码仓库的所有操作进行相应的记录,目的是为了方便安全部门对代码仓库的操作进行安全审计,或者是代码仓库出问题以后,通过审计日志发现问题所在。大白话说就是看看谁对仓库做了什么操作,比如常规的仓库克隆、拉取、推送,当然最可怕的就是传说中的删除跑路或者修改仓库的可见性(从私有修改为公开,很多著名的信息泄露就是由仓库可见性修改引起的)。还有这些年很常见的,有员工在离职前疯狂下载代码,然后当作自己的知识产权,从而带离公司。
这每一件发生在公司内部都是一件大事,毕竟现在数字化时代,很多企业的核心资产就是“一坨坨”的代码。那能够避免这种事情发生或者在事件发生后能及时找到“肇事者”的方法其实就是代码安全审计,这玩意的英文名称叫做Audit event。当然,国内很多开发者可能也叫做“代码追踪”,“代码泄露之类的”。Whatever,不管叫什么,核心就是希望能够用一些手段来保护代码的安全,不要被偷、不要被删,所有的操作都要留下痕迹,而且这痕迹至少要包含三个要素:
- Who:事件的操作主体。主要是指对代码进行操作的人,一般来讲当然就是公司内部的研发人员啦;
- When:事件发生的时间。主要是指操作是什么时间段发生的;
- What:操作主体做了什么具体操作。主要就是看看对仓库代码都做了啥,克隆还是推送,拉取还是删库等。
说半天,这玩意到底咋做呢?
说白了,只能依靠平台自身,平台要是自带了这个功能,那就方便很多,要是不带就没办法了。
极狐GitLab 安全审计 & 安全审计流
好巧不巧的是,GitLab 本身就自带了这个功能,而且随着版本的迭代更新,审计的事件也越来越多,到目前为止(最新为 17.4 版本)审计事件已经多到130+ 项,从实例到群组、到项目,都有。
需要注意的是:安全审计和安全审计流都属于极狐GitLab 专业版及以上功能,但是当前可以申请免费试用 60天。在官网申请后会立马收到一个 license,导入即可!
安全审计功能
极狐GitLab 审计事件可以在实例、群组、项目三个级别查看,路径分别为(以 17.4 为例):
- 实例:管理中心 --> 监控 --> 审计事件
- 群组:群组 --> 安全 --> 审计事件
- 项目:项目 --> 安全 --> 审计事件
比如添加一个项目,会产生对应的审计事件:
安全审计事件流
极狐GitLab 审计事件流功能可以将审计事件流发送到外部的流数据系统(可以接受并处理 JSON 格式的数据),然后再由流数据系统对数据进行分析、存储、可视化及告警等操作。
{
"severity": "INFO",
"time": "2024-09-26T08:54:16.339Z",
"correlation_id": "01J8PRKGB20R989VA752DN9ES4",
"meta.caller_id": "PostReceive",
"meta.remote_ip": "127.0.0.1",
"meta.feature_category": "source_code_management",
"meta.user": "root",
"meta.user_id": 1,
"meta.project": "devsecops/ai",
"meta.root_namespace": "devsecops",
"meta.client_id": "user/1",
"meta.root_caller_id": "POST /api/:version/internal/post_receive",
"id": 274,
"author_id": 1,
"entity_id": 7,
"entity_type": "Project",
"details": {
"push_access_levels": ["Maintainers"],
"merge_access_levels": ["Maintainers"],
"allow_force_push": false,
"code_owner_approval_required": false,
"event_name": "protected_branch_created",
"author_name": "Administrator",
"author_class": "User",
"target_id": 7,
"target_type": "ProtectedBranch",
"target_details": "main",
"custom_message": "Added protected branch with [allowed to push: [\"Maintainers\"], allowed to merge: [\"Maintainers\"], allow force push: false, code owner approval required: false]",
"ip_address": "218.60.118.175",
"entity_path": "devsecops/ai"
},
"ip_address": "218.60.118.175",
"author_name": "Administrator",
"entity_path": "devsecops/ai",
"target_details": "main",
"created_at": "2024-09-26T08:54:16.308Z",
"target_type": "ProtectedBranch",
"target_id": 7,
"push_access_levels": ["Maintainers"],
"merge_access_levels": ["Maintainers"],
"allow_force_push": false,
"code_owner_approval_required": false,
"event_name": "protected_branch_created",
"author_class": "User",
"custom_message": "Added protected branch with [allowed to push: [\"Maintainers\"], allowed to merge: [\"Maintainers\"], allow force push: false, code owner approval required: false]"
}
极狐GitLab 可以将审计日志以 JSON 的方式往外发,只要有一个服务能够接受这些 JSON 格式的数据就可以。而且极狐GitLab 本身支持添加第三方的流接收器。
可以在实例、群组级别添加事件流外部接收器:
- 实例:管理中心 --> 监控 --> 审计事件 --> 事件流
- 群组:群组 --> 安全 --> 审计事件 --> 事件流
比如在实例级别添加了一个事件流外部接收器:
主要参数:
- 目的地名称:写明事件流目的地名称,因为可以添加多个,因此需要用不同的名称来区分
- 目的地 URL:事件流目的地的地址,也就是接受 JSON 数据的服务地址。这也是本文的核心,这个服务可以自己构建一个。
用 Python 构建审计流目的地接受器
用 Python 主流的 web 框架都可以构建此类接收器,本文使用常用的 fastapi 来构建,代码如下:
from fastapi import FastAPI
import uvicorn
app = FastAPI()
@app.post("/jh-gitlab")
async def gitlab_payload(data: dict):
audit_event_info = {
"Action": data['details']['custom_message'],
"Author": data['details']['author_name'],
"IP Address": data['details']['ip_address'],
"Entity Path": data['details']['entity_path'],
"Target Details": data['target_details']
}
print(audit_event_info)
if __name__ == "__main__":
uvicorn.run(app, host="0.0.0.0", port=8000)
前面看到实际的审计事件日志有很多信息,但是一般想要的就是开头提到的Who、When、What,对应日志里面的字段基本就是action、author、ipaddress、entity_path、target_details。所以,接收到数据以后,先把这些数据取出来,然后做下一步。
将上面的代码存到一个 python 文件里面,然后在服务器上运行起来即可:
python3 main.py
INFO: Started server process [2140728]
INFO: Waiting for application startup.
INFO: Application startup complete.
INFO: Uvicorn running on http://0.0.0.0:8000 (Press CTRL+C to quit)
这时候对代码库做一次变更,比如来个暴力的,直接删除仓库,看看能接收到什么数据:
![file](Maximum upload size exceeded; nested exception is java.lang.IllegalStateException: org.apache.tomcat.util.http.fileupload.FileUploadBase$SizeLimitExceededException: the request was rejected because its size (2462221) exceeds the configured maximum (2097152))
可以看到,将仓库删除的话,有两个动作:
- 修改仓库的名称
{
"Action": "Changed name from DevSecOps / ai to DevSecOps / ai-deleted-7",
"Author": "Administrator",
"IP Address": "36.133.246.166",
"Entity Path": "devsecops/ai-deleted-7",
"Target Details": "devsecops/ai-deleted-7"
}
从上面的信息就能看出,是 adminstor(对,也就是管理员)把 devsecops群组下面的 ai项目删除了。
- 将仓库标记为等待删除
{
"Action": "Project marked for deletion",
"Author": "Administrator",
"IP Address": "36.133.246.166",
"Entity Path": "devsecops/ai-deleted-7",
"Target Details": "ai-deleted-7"
}
从上面的信息就能看出,项目 ai被标记为等待删除,这个可以在项目界面上看到:
接下来就要对不同的操作做一些区分了。因为不同的操作 action 的内容也不尽相同。当然,重要的是这些事件发生以后,如果想特别关注,那就搞一个通知发送机制。下面是一个发送到钉钉群的参考代码:
def notification(payload: dict):
webhook_url = "https://oapi.dingtalk.com/robot/send?access_token=你的钉钉token"
# 发送消息的内容
message = {
"msgtype": "text",
"text": {
"content" : "GitLab: {}".format(json.dumps(payload))
}
}
# 发送 POST 请求
headers = {'Content-Type': 'application/json'}
response = requests.post(webhook_url, data=json.dumps(message), headers=headers)
# 对结果进行判断
if json.loads(response.text)['errcode'] == 0:
print("Send Message Success!")
else:
print("Send Message Failed!")
然后对仓库做一些操作,比如新建项目、删除项目、克隆项目、推送代码等,就可以看到对应的消息发送到了钉钉群:
当然,如果觉得上面的这种方式不太容易理解的话,就做一个转换,把 Action 的内容转化成任何人都能看懂的消息,毕竟 git-upload-pack对很多人来说都不是很常见。就把这个任务交给对此感兴趣的小伙伴吧。
结束语
代码安全审计是安全合规非常重要的一环,但是同时也是很多企业容易忽略的一环,究其原因是能够具备如此完整功能的产品不是很多,因为这需要产品不断地持续迭代更新,而且得从早期就做好产品规划。而在这一点上,GitLab 是值得称赞的。当然,说再多也不去亲自去体验。欢迎感兴趣的小伙伴申请专业版免费使用 license 来体验完整的功能。
附录
把这个测试用的代码完整附录如下:
from fastapi import FastAPI
import uvicorn
import requests
import json
app = FastAPI()
@app.post("/jh-gitlab")
async def gitlab_payload(data: dict):
# 抓取审计事件中的主要信息
audit_event_info = {
"Action": data['details']['custom_message'],
"Author": data['details']['author_name'],
"IP Address": data['details']['ip_address'],
"Entity Path": data['details']['entity_path'],
"Target Details": data['target_details']
}
print(audit_event_info)
# 发送消息通知
notification(audit_event_info)
def notification(payload: dict):
webhook_url = "https://oapi.dingtalk.com/robot/send?access_token=你的钉钉 webhook token"
# 发送消息的内容
message = {
"msgtype": "text",
"text": {
"content" : "GitLab: {}".format(json.dumps(payload))
}
}
# 发送 POST 请求
headers = {'Content-Type': 'application/json'}
response = requests.post(webhook_url, data=json.dumps(message), headers=headers)
print(response.text)
if json.loads(response.text)['errcode'] == 0:
print("Send Message Success!")
return True
else:
print("Send Message Failed!")
return json.loads(response.text)['errmsg']
if __name__ == "__main__":
uvicorn.run(app, host="0.0.0.0", port=8000)
本文由博客群发一文多发等运营工具平台 OpenWrite 发布