SHUHARI 的博客

流光飞舞

标签 安全

阿里云、GitLab 与客户或许都有责任 - 阿里云代码泄露事件评论

过去几天,关于阿里云代码仓库权限设置问题,导致多个大型企业信息与数据外泄的消息,引起了开发者社区的不少关注与讨论。事情的原委已有很多新闻网站发表,如 InfoQ 新闻: 一个“Internal”牵扯出的代码泄露,阿里云独家回应,这里不再赘述。我想讨论的是该事件的技术细节以及我个人的看法。

私密信息管理利器 HashiCorp Vault——REST API

在前面的文章中,我们一直在使用 Vault 命令行客户端。不过,部分输出内容也透露了这样的信息,那就是客户端和服务器的通信实质上是通过 HTTP 协议进行的。本文就显示如何使用 REST API 和服务器通信。Vault 有许多针对特定语言的客户端库,它们基本上就是这些接口的简单封装。只要明白了基本原理,其实你自己写一个也非常简单。

4

私密信息管理利器 HashiCorp Vault——验证和授权

到目前为止,我们都是使用 vault 客户端直接访问服务器,并未进行任何登录之类的操作。这是因为在开发模式下,服务器会自动将用户登录为 root 用户,目的是为了简化测试,避免在登录问题上卡住初学者。但在生产环境中这显然是非常不安全的。再重复一次,绝对不要在生产环境中使用开发模式

私密信息管理利器 HashiCorp Vault——简介

私密信息管理利器 HashiCorp Vault——简介

最近,由于项目中需要使用保存和管理的加密配置,并且我相信自己发明加密方法并不是一个合理的选择,所以开始寻找相关的方案。经过选型,确定了 HashCorp Valut

目前,在网络上除了官方文档之外,能找到的相关资料非常至少。这或许是因为 Vault 尚未得到大规模使用,不过也有可能是因为涉及到私密性的信息,所以不方便公开讲。不论原因为何,本文和后续的文章希望把使用 HashiCorp Vault 的经验和心得记录下来,为后来人提供一点方便。

2