更新于 : Apr 26, 2023
不在本期内容中
这一条目不在当前版本的技术雷达中。如果它出现在最近几期中,那么它很有可能仍然具有相关参考价值。如果这一条目出现在更早的雷达中,那么它很有可能已经不再具有相关性,我们的评估将不再适用于当下。很遗憾我们没有足够的带宽来持续评估以往的雷达内容。
了解更多
Apr 2023
Trial
值得一试。了解为何要构建这一能力是很重要的。企业应当在风险可控的前提下在项目中尝试应用此项技术。
当谈到密钥管理的时候,我们总是建议密钥与代码解耦。然而,团队却时常面临着取舍权衡,一种方式是基于基础设施即代码思想的全自动化,另一种方式是使用一些手动步骤和诸如 vaults 的工具去管理、生成、更新密钥。例如,我们的团队使用 SOPS 工具生成构建基础设施所需要的根密钥。然而在某些情况下,从遗留代码仓库中移除密钥并不现实。对于这类需求,我们发现 Mozilla SOPS 是一个很好的工具,可以用来加密文本文件中的密钥。SOPS 集成了诸如 AWS、KMS、Azure Key Vault 等密钥仓库作为待加密密钥源。它支持跨平台运行,也支持 PGP 密钥。
Oct 2021
Assess
在了解它将对你的企业产生什么影响的前提下值得探索
把密钥当作普通文本放到版本控制(通常是 Github)中是开发者最常犯的错误之一。在某些难以将误提交的密钥内容从遗留代码库移除的情况下,我们认为 Mozilla Sops 工具所提供的加密文本文件中的密钥功能是很有用的。我们在过去也多次提到有类似功能的工具(Blackbox, git-crypt),而 Sops 因几项功能脱颖而出。比如,Sops 集成了 AWS KMS,GCP KMS,以及 Azure Key Vault 等全托管密钥存储服务,可将其作为加密密钥的来源。Sops 也支持跨平台使用,并且支持 PGP key。这使得用户可以在单个文件级别上对密钥进行细粒度的访问控制。同时,Sops 也以纯文本的方式留下了识别密钥,以便通过 git 来定位和比对文本中的原始密钥。我们始终支持能更容易确保开发者安全的事情。但是,也请记住,你并不需要在一开始就把密钥放到源码中。请参阅我们于 2007 年11 月发布的雷达内容 Decoupling secret management from source code。
发布于 : Oct 27, 2021
