Русский
Русский
English
Статистика
Реклама

Блокируем заливку приватных ключей, архивов, больших файлов и не только в Gitlab CE

Git hooks инструмент, помогающий держать в порядке ваш репозиторий. Можно настроить автоматические правила оформления ваших коммитов.


Все вы наверное знаете про pre-commit проверку вашего кода перед коммитом. Но ведь не все можно проверить перед коммитом. Некоторые ограничения хочется использоваться глобально на всем Gitlab.


Кто запутался в pre-commit и pre-receive хуках, в этом посте описываются различия между ними https://blog.gitguardian.com/git-hooks-automated-secrets-detection/ в абзаце "What are git hooks?".


Если у вас Gitlab Enterprise Edition, вы можете настроить хуки, которые описаны в посте через WEB интерфейс.


Но что делать, если у вас Gitlab Community Edition?


В этой статье будут описаны 5 pre-receive хуков, которые выполняются на сервере Gitlab Community Edition:


  • block_confidentials.sh Блокирование отправки приватных ключей и AWS токенов
  • block_file_extensions.sh Блокирование отправки архивов (Regex настраивается)
  • check-large-files.sh Блокирование отправки больших файлов (Размер настраивается)
  • reject-not-allowlist-email.sh Блокирование коммитов с email не из allow списка (Список email доменов настраивается)
  • require-issue.sh Блокирование коммитов без issue в названии (Список issue настраивается)

В основном хуки взяты из репозитория platform-samples в директории pre-receive-hooks (относится к GitHub Enterprise).


Весь исходный код серверных хуков вы можете посмотреть на Github https://github.com/patsevanton/git-server-pre-receive-hooks


Установка на Gitlab


  • Необходимо создать директорию /opt/gitlab/embedded/service/gitlab-shell/hooks/pre-receive.d/
  • Скопировать в эту директорию хуки
  • Не забыть выставить права запуска для хуков (chmod +x файл-хука)

Блокирование отправки приватных ключей и AWS токенов


В файле block_confidentials.sh настраиваем список regex_list, который описывает конфиденциальную информацию.


# Define list of REGEX to be searched and blockedregex_list=(  # block any private key file  '(\-){5}BEGIN\s?(RSA|OPENSSH|DSA|EC|PGP)?\s?PRIVATE KEY\s?(BLOCK)?(\-){5}.*'  # block AWS API Keys  'AKIA[0-9A-Z]{16}'  # block AWS Secret Access Key (TODO: adjust to not find validd Git SHA1s; false positives)  # '([^A-Za-z0-9/+=])?([A-Za-z0-9/+=]{40})([^A-Za-z0-9/+=])?'  # block confidential content  'CONFIDENTIAL')

Добавляем в репозиторий приватный ключ, делаем коммит и при git push получаем ошибку.



Блокирование отправки архивов


В файле block_file_extensions.sh настраиваем case *.zip|*.gz|*.tgz, в котором указываются расширения файлов, которые будут блокироваться.


Добавляем в репозиторий zip архив, делаем коммит и при git push получаем ошибку.



Блокирование отправки больших файлов


В файле check-large-files.sh настраиваем параметр maxsize, который указывает размер файла в мегабайтах, выше которого отправка будет блокироваться.


Добавляем в репозиторий файл больше 1 мегабайта, делаем коммит и при git push получаем ошибку.



Блокирование коммитов с email не из allow списка


В файле reject-not-allowlist-email.sh настраиваем список email-доменов, для которых разрешены коммиты.


declare -a DOMAIN_ARRAY=("group1.com" "group2.com")

Меняем почту в git на ту, которой нет в разрешенном списке.


git config user.email user1@group3.com

Добавляем в репозиторий любой файл, делаем коммит и при git push получаем ошибку.



Блокирование коммитов без issue в названии


Этот серверный хук был взят из блога Majilesh.


В файле require-issue.sh настраиваем список commit_format, для которых разрешены коммиты.


commit_format="(JIRA|PROJECTKEY|MULE|ECOM|SAP|XLR-[1-9]+Merge)"

Добавляем в репозиторий любой файл, делаем коммит, в названии которого нет слов из commit_format и при git push получаем ошибку.



Надеюсь что мой пост сподвигнет сообщество развивать направление серверных хуков.


Telegram чат по Gitlab https://t.me/ru_gitlab

Источник: habr.com
К списку статей
Опубликовано: 06.07.2020 10:05:56
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

*nix

Devops

Git

It-инфраструктура

Тестирование it-систем

Hook

Pre-commit

Pre-receive

Gitlab

Категории

Последние комментарии

  • Имя: Murshin
    13.06.2024 | 14:01
    Нейросеть-это мозг вселенной.Если к ней подключиться,то можно получить все знания,накопленные Вселенной,но этому препятствуют аннуннаки.Аннуннаки нас от неё отгородили,установив в головах барьер. Подр Подробнее..
  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru