GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab :https://gitlab.cn 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。
更多关于极狐GitLab :https://gitlab.cn 或者 DevOps 的最佳实践,可以关注文末的极狐GitLab 公众号。
学习极狐GitLab 的相关资料:
- 极狐GitLab 官网:https://gitlab.cn
- 极狐GitLab 官网文档:https://docs.gitlab.cn
- 极狐GitLab 论坛:https://forum.gitlab.cn/
- 极狐GitLab 安装配置:https://gitlab.cn/install
- 极狐GitLab 资源中心:https://resources.gitlab.cn
极狐GitLab 针对现有和新的个人、群组或项目访问令牌现在都有了强制的生命周期限制。下面这篇文章解释其中的原因。
在安全性和易用性之间取得平衡。听起来很简单,对吧?任何曾经实施安全控制的人都知道这种平衡是微妙的,可能永远也无法完全实现,因为人们的容忍水平可能不同。
在极狐GitLab,我们也不例外。在认证组中,我们试图提供一套访问和安全控制工具箱,供极狐GitLab管理员根据自己的喜好实施,认识到每个人在安全性与可访问性之间的位置都不同。然而,有时我们不得不就我们向客户提供的访问机制作出决定,其中包括与强大的、长期存在的凭证及其生命周期相关的访问机制。这些凭证通常可以被创建并且在多年内保持不变,可能会在日志、配置和使用这些工具的人员中曝光。如果泄露,它们可能会对组织的安全姿态造成不可修的伤害。
我们决定停止对不过期访问令牌的支持
在在GitLab 16.中,我们决定取消对不过期访问令牌的支持。这首先是在15.4中宣布的。截至16.0 里程碑(2023年5月),我们为以前没有过期日期的任何个人、群组或项目访问令牌设置了一个到期日期,即2024年5月14日。任何已经有过期日期的访问令牌,即使超出365天的限制,也不受影响。
从2023年5月15日开始,创建的任何新访问令牌必须在创建后365天内过期。
在极狐GitLab 旗舰版中,管理员可以设置自定义的令牌过期限制。这个策略允许管理员为了符合法规目的将生命周期设置为少于365天。在专业版和基础版本中,令牌必须在365天内过期。
这会产生什么影响?
如果您有依赖于个人、群组或项目访问令牌的自动化,并且您不修改其过期日期,那么当它达到过期日期时将停止工作。如果您以前没有为您的令牌设置过期日期,它们现在的设置将不早于2024年5月14日。除非您延长令牌的生命周期和/或轮换令牌,否则您的自动化将在那停止工作。
我们为什么要做出这种改变?
一切都始于我们内部应用安全团队建议的一个问题,这导致我们为访问令牌设置了一些安全意识的默认值:默认情况下最少的权限和30天的到期日期。用户始终可以根据自己的进行更改。
我们在极狐GitLab 15.0 中已经强制执行了OAuth令牌的到期日期。我们的应用安全团队建议我们也对个人、项目和群组访问令牌强制执行到期日期。长期存在的、静态的密钥应该具有强制的生命周期限制,这是最佳安全实践的一部分。因此,有必要制定这些限制。如果一个令牌没有到期日期,我们在2023年5月的16.0 版本中为令牌设置了一年的到期日期。这意味着如果令牌在之前没有被轮换和/或修改到期日期,那么在2024年5月,这些令牌将会过期。
如何最小化影响 ?
您现在正在阅读这篇博客文章,希望您已经意识到这种变化可能造成的潜在影响。下面的部分将详细介绍如何保持极狐GitLab正常运行。
了解您拥有的内容
要有前瞻性。首先进行一次所有令牌的审计。如果您是旗舰版的客户,您可以使用凭据清单(仅在自托管中可用)查看实例中的所有个人、项目和群组访问令牌。
如果您无法访问凭据清单,您可以:
- 从左侧导航中的访问令牌查看活动个人令牌。
- 使用API列出个人、项目或群组访问令牌。管理员可以查询所有用户创建的令牌,而个人用户只能查看自己创建的令牌。
如果您是极狐GitLab管理员,请与您的最终用户沟通,告知他们关于个人访问令牌的此变化,以及您希望他们如何管理将来的过期日期。
使用轮换API
我们发布了一个令牌轮换 API,可以撤销以前的令牌,并创建一个在一周后到期的新令牌。
我们还实现了自动令牌重用检测,以增加安全性。自动重用检测是一项深度防御性安全措施,可以帮助防止攻击者使用泄漏的访问令牌,并且通过将即将过期的泄漏令牌轮换以获取新令牌,自动令牌重用检测API可以无限期地保持对用户账户的访问。
简要描述自动令牌重用检测的工作原理,让我们描述一个场景:一个合法用户意外地公开了他们的个人访问令牌(AT1)。攻击者偶然发现了这个泄漏的访问令牌(AT1),使用AT1和令牌轮换端点获取一个新的访问令牌(AT2),以继续保持对用户账户的访问。合法用户,不知道AT1的泄漏或者攻击者的访问,试图使用AT1和令牌轮换API获取一个新的访问令牌(AT3,在他们看来)。然而,由于AT1在令牌轮换端点上被使用两次,后端检测到了这种重用,并推断出这种重用可能是由令牌泄漏造成的。由于它无法知道是攻击者还是合法用户在对令牌旋转API进行请求,为了保护用户账户的访问,在最新的令牌家族中,AT2被撤销,从而阻止攻击者对用户账户的访问。
由于重用检测的影响,令牌轮换必须注意潜在的并发问题。建议不要多次使用相同的访问令牌调用令牌轮换API。否则,自动重用检测可能会立即撤销整个令牌家族,作为上述安全措施,如上所述。
手动设置到期日期
您可以使用UI删除现有的访问令牌,并创建一个带有指定到期日期的新访问令牌。确保在您的自动化中交换新的令牌。现有令牌的到期日期不能在UI中修改,所以如果您想设置一个更晚的到期日期,您需要生成一个新的令牌。
观察您的通知
我们的团队已经为即将到期的个人、群组和项目访问令牌实现了电子邮件通知。这些通知的结构如下:
- 当您的令牌在30天后到期时您会收到一封电子邮件通知。
- 在您的令牌到期天前,您会收到另一封电子邮件。
- 在到期前一天,会发送另一封电子邮件。
- 每个单独的令牌都会触发自己单独的电子邮件。
对于项目和群组访问令牌,项目和组的所有者、维护者和管理员将收到些电子邮件通。对于个人访问令牌,个人用户将收到电子邮件。
自动化用例的服务账户
对于当前使用群组或项目访问令牌的自动化用例,我们建议您查看服务帐户,该账户在极狐GitLab高级和旗舰版中可用。这些帐户不使用许可证,并且不能使用交互式登录访问极狐GitLab UI。它们还具有不同的成员身份类型,使其易于跟踪。结合可选的令牌生存期限制(即将推出),这意味着您可以将其设置为永不过期(尽管我们仍鼓励您谨慎遵守安全最佳实践)。
