Semaphore UI的安全性
Semaphore UI是一个自我管理的平台,允许DevOps团队使用Ansible、Terraform和自定义脚本安全地自动化基础设施。
我们理解安全性对用户至关重要,本文档概述了帮助保护您的数据和系统的原则、实践和功能。
🔐 数据存储和隐私
- Semaphore UI是完全自托管的——您的所有数据都保留在您的环境中。
- 我们不收集或传输您的任何凭据、秘密、清单、剧本、日志或遥测数据。
- 您对数据存储、访问、备份和保留政策拥有完全控制权。
🔧 设计安全
- 使用Go开发,这是一种编译的、内存安全的语言。
- 最小的外部依赖。
- Web UI、API和任务执行器之间有明确的分离。
- 遵循内部操作的最小权限原则。
🔍 代码安全工具
为了维护代码质量和防止安全问题,我们使用以下工具:
- GitHub CodeQL – 语义代码分析,通过将代码视为数据进行查询,以检测漏洞和错误。
- Codacy – 静态代码分析以确保代码质量。
- Snyk – 自动扫描依赖项中的已知漏洞。
- RenovateBot – 自动化依赖项更新,以减少过时或易受攻击的包的暴露。
🧑💼 访问控制和身份验证
- 内置基于角色的访问控制(所有者、经理、任务执行者、访客)。
- 可选的双因素身份验证(TOTP)。
- 项目和环境级别的隔离。
- 支持LDAP和OAuth2单点登录。
🔍 审计和监控
- 所有UI操作都记录有时间戳和用户ID。
- 日志存储在本地,并可以导出到外部日志或SIEM工具。
- 可以部署在反向代理后(例如NGINX、Traefik),以添加IP过滤、速率限制和高级身份验证。
🔄 更新和补丁管理
- 我们建议始终使用最新的稳定版本。
- 一旦确认并修复问题,安全补丁会迅速发布。
📣 负责任的披露
如果您发现安全漏洞,请通过电子邮件安全地报告,邮箱为[email protected]。
我们的目标是:
- 在1个工作日内确认您的报告。
- 在7个工作日内提供解决方案或状态更新。
🛠️ 安全部署最佳实践
为了确保安全安装:
- 在私有网络或VPN上运行Semaphore UI。
- 使用有效的TLS证书通过反向代理终止HTTPS。
- 使用防火墙规则或IP白名单限制外部访问。
- 定期更新您的Semaphore UI实例和依赖项。
📜 合规性和隐私
Semaphore UI是隐私友好的,并帮助支持您的合规工作:
- GDPR:所有数据保持本地并在您的控制之下。
- CCPA:没有跟踪,没有分析,没有第三方数据共享。
✅ 总结
Semaphore UI在设计上注重安全和隐私。它赋予团队自动化的能力,而不妥协控制。通过适当的安装和配置,它可以满足甚至严格的内部安全要求。
有问题吗?请通过[email protected]与我们联系。