Security at Semaphore UI
Semaphore UIは、DevOpsチームがAnsible、Terraform、およびカスタムスクリプトを使用してインフラストラクチャを安全に自動化できる自己管理型プラットフォームです。
私たちは、セキュリティがユーザーにとって重要であることを理解しており、この文書では、データとシステムを安全に保つための原則、実践、および機能を概説します。
🔐 データストレージとプライバシー
- Semaphore UIは完全に自己ホスト型です — あなたのデータはすべてあなたの環境に残ります。
- 私たちはあなたの資格情報、秘密、インベントリ、プレイブック、ログ、またはテレメトリを収集または送信しません。
- データストレージ、アクセス、バックアップ、および保持ポリシーに対する完全な制御があります。
🔧 設計によるセキュリティ
- Goで開発されており、コンパイルされたメモリ安全な言語です。
- 最小限の外部依存関係。
- ウェブUI、API、およびタスク実行者の明確な分離。
- 内部操作に対して最小権限の原則に従っています。
🔍 コードセキュリティツール
コードの品質を維持し、セキュリティの問題を防ぐために、以下のツールを使用しています:
- GitHub CodeQL – コードをデータとしてクエリし、脆弱性やバグを検出するセマンティックコード分析。
- Codacy – コード品質のための静的コード分析。
- Snyk – 依存関係の既知の脆弱性を自動的にスキャン。
- RenovateBot – 古いまたは脆弱なパッケージへの露出を減らすために依存関係の更新を自動化。
🧑💼 アクセス制御と認証
- 内蔵の役割ベースのアクセス制御(オーナー、マネージャー、タスクランナー、ゲスト)。
- オプションの二要素認証(TOTP)。
- プロジェクトおよび環境レベルの分離。
- LDAPおよびOAuth2 SSOのサポート。
🔍 監査とモニタリング
- すべてのUIアクションは、タイムスタンプとユーザーIDとともにログに記録されます。
- ログはローカルに保存され、外部のロギングまたはSIEMツールにエクスポートできます。
- IPフィルタリング、レート制限、および高度な認証を追加するためにリバースプロキシ(例:NGINX、Traefik)の背後にデプロイできます。
🔄 更新とパッチ管理
- 最新の安定版リリースを常に使用することをお勧めします。
- 問題が確認され修正されると、セキュリティパッチは迅速にリリースされます。
📣 責任ある開示
セキュリティの脆弱性を発見した場合は、[email protected]まで責任を持って報告してください。
私たちは以下を目指します:
- 1営業日以内にあなたの報告を確認します。
- 7営業日以内に解決策またはステータスの更新を提供します。
🛠️ セキュアなデプロイメントのベストプラクティス
安全なインストールを確保するために:
- Semaphore UIをプライベートネットワークまたはVPN上で実行します。
- 有効なTLS証明書を持つリバースプロキシを使用してHTTPSを終了します。
- ファイアウォールルールまたはIPホワイトリストを使用して外部アクセスを制限します。
- 定期的にSemaphore UIインスタンスと依存関係を更新します。
📜 コンプライアンスとプライバシー
Semaphore UIはプライバシーに配慮しており、コンプライアンスの取り組みをサポートします:
- GDPR:すべてのデータはローカルに保持され、あなたの管理下にあります。
- CCPA:トラッキングなし、プロファイリングなし、第三者データの共有なし。
✅ まとめ
Semaphore UIは、設計においてセキュリティとプライバシーを重視して構築されています。チームに自動化の力を与えつつ、制御を損なうことはありません。適切なインストールと構成により、厳しい内部セキュリティ要件を満たすことができます。
質問がありますか? [email protected]までお問い合わせください。