更新时间:2025-07-30 GMT+08:00

CodeArts安全配置概述

CodeArts提供了运营安全、代码安全等一系列安全能力,用户在使用CodeArts的过程中,可以根据需要完成相应的安全配置。

运营安全

CodeArts具备精细化权限控制和审计追溯能力,以确保数据资产的安全。

表1 运营安全

安全配置

说明

配置建议

参考资料

精细化权限管控

CodeArts提供租户级权限、项目级权限、实例级权限三层权限模型,实现权限的清晰管理和控制。

建议管理员结合业务需要,遵从权限最小化原则,对成员分配权限。

CodeArts鉴权管理

审计日志

CodeArts各服务对接云审计服务(CTS),提供操作记录的收集、存储和查询功能。

建议开通CTS以支撑安全分析、合规审计、资源跟踪和问题定位等场景。

IP白名单管控

代码托管、制品仓库服务支持设置IP白名单,限制对代码、制品等数据资产的访问,仅允许白名单内的IP访问。

建议设置信任的IP地址为IP白名单,减少未经授权用户或恶意攻击者进入系统的风险,降低遭受暴力破解、DDoS攻击等的可能性。

安全水印

代码托管提供水印设置功能,支持在源代码浏览页面添加访问者水印,提高代码页面展示的安全性,辅助溯源追责。

建议打开水印设置,保护代码仓库的知识产权。

代码仓库水印设置

代码安全

代码托管服务(CodeArts Repo)通过提供访问令牌、部署密钥、保护分支管理等能力,为代码资产安全保驾护航。

表2 代码安全

安全配置

说明

配置建议

参考资料

访问令牌

CodeArts Repo为每个用户提供生成访问令牌功能,令牌仅在生成时显示一次,并且可以设置有效期,默认有效期1个月,最长有效期为1年。

建议在授权个人仓库访问权限给第三方时,创建访问令牌并设置有效期,避免暴露账号密码。

设置访问令牌

部署密钥

CodeArts Repo支持为代码仓库添加部署密钥,通过部署密钥访问代码仓库时只有只读权限。

建议在构建等对代码仓库只读场景下,使用部署密钥克隆代码仓,尽可能避免密钥泄露等影响代码仓安全。

配置部署密钥

保护分支管理

在代码仓库中可以设置保护分支,防止此分支被修改或误删。

建议将主干分支设置为保护分支,仅能通过合并请求的方式将代码合入主干分支,且禁止任何人对保护分支做强制推送。

配置保护分支

可见范围管理

CodeArts Repo支持对代码仓库设置以下可见范围。

  • 私有(仓库仅对仓库成员可见,仓库成员可读写和访问仓库)
  • 公开
    • 项目内成员只读
    • 租户内成员只读
    • 所有访客只读

建议结合业务需要,在新建仓库时选择相应的可见范围,或为已创建的代码仓库调整可见范围。

管理员也可以根据需要设置是否可以创建可见范围为“公开”的代码仓库。

提交规则管理

CodeArts Repo支持为代码仓库设置提交规则,用户可以选择服务提供的提交规则,也可以自定义提交规则。

建议结合业务需要,为每个仓库设置提交规则,防止代码被随意修改。

配置提交规则

持续交付流程安全

在进行持续交付的过程中,可以通过设置私密参数、配置主机安全组操作,保证流程中的信息安全。

表3 持续交付流程安全

安全配置

说明

配置建议

参考资料

设置私密参数

编译构建、部署、流水线、测试计划服务支持私密参数功能。私密参数会被服务加密存储,使用时解密,同时在运行日志里不可见。

建议将包含敏感信息的参数设置为私密参数,以防止敏感信息泄露。

配置主机安全组

用户使用官方资源池执行部署时,部署服务支持通过指定IP连接用户主机执行部署脚本。

用户可以通过配置主机安全组,建立部署服务与主机之间的访问策略。

建议配置安全组,限制目标主机、代理主机仅能与部署服务官方资源池的对外开放IP进行通信,增强部署服务的安全性。

配置安全组