我们有一组 Linux 服务器,我们的开发人员使用这些服务器为我们销售的产品编译软件。目前,我们的网络安全人员表示服务器需要修补,而开发人员表示修补会改变构建服务器生成的最终二进制文件,我们目前处于对峙状态。
我在网上找不到任何关于修补构建服务器的信息,并且想知道这里是否有其他人处于相同的情况以及您是如何解决的?
AskOverflow.Dev
这是一个艰难的问题,并且没有一个很好的答案。
从高层次的角度来看,正确的答案是“将此系统与外部资源隔离,并在您的安全计划中注明该服务器只能从一个特定的、防火墙严密的子网访问。” 这可能会使开发人员的生活更加困难,但最终应该满足安全性和他们的需求。
从“试图在两个方向上取胜”的角度来看,您可以根据您的安全团队的方法/愿望以及开发软件的设置方式,创建一个“构建目录树”,您可以在其中静态构建用于开发人员,它们与操作系统使用的开发人员分开构建。
IE 不是让开发人员使用 /usr/lib/* 作为构建库的源,而是创建一个 /build/lib" 目录并重新编译所有这些项目的静态源......
但归根结底,真正的答案是。如果开发人员需要一个未打补丁的静态系统来构建他们的软件,那么高层需要签署一些内容,上面写着“是的,我们只需要冒险”