文档首页/ 代码托管 CodeArts Repo/ 用户指南/ CodeArts Repo的安全管理
更新时间:2024-11-28 GMT+08:00
分享

CodeArts Repo的安全管理

CodeArts Repo为保证代码仓库的安全性,支持添加IP白名单、支持更改代码仓库所有者、删除代码仓库、更改代码仓库名称、增加水印设置、锁定仓库、记录审计日志,具体可参考如下章节。且这些操作只有具有代码组或者代码仓库“设置”权限的人员可执行,代码仓库的“设置”权限可参考配置代码仓库级的权限

为代码仓库配置部署密钥

为保证代码仓的安全性,有些代码仓库只支持克隆/下载,不支持合入代码等其它变更代码仓库操作,代码仓库处于只读模式,此时需要为该代码仓库配置部署密钥。配置部署密钥位于代码仓库详情中的“设置 > 安全管理 > 部署密钥”,进入部署密钥页面,单击“添加部署密钥”,本地生成SSH密钥可参考配置SSH密钥的步骤1~步骤3。

  • 多个仓库之间可以使用同一个部署密钥,一个仓库最多可以添加10个不同的部署密钥。
  • SSH密钥与仓库部署密钥有区别:前者与用户/计算机关联,后者与代码仓库关联;SSH密钥对仓库有读写权限,部署密钥对仓库是只读权限。
  • 此设置只针对被设置的仓代码库生效。

CodeArts Repo的风险操作

CodeArts Repo支持更改代码仓库所有者、删除代码仓库和更改代码仓库名称,但该操作存在风险,请谨慎操作。

风险操作位于代码仓库详情中的 设置 > 安全管理 > 风险操作。支持如下三个操作:

  • 移交仓库所有者:可以将当前代码仓库移交给仓库内的其他人(不能移交给浏览者)。
  • 删除仓库:一旦您删除该代码仓,代码仓库内所有内容都将会被永久删除。这是一个不可恢复的操作,请谨慎操作。
  • 更改仓库名:更改仓库名称将导致仓库的访问和克隆地址改变,在此之前的地址将失效,请谨慎操作。

为CodeArts Repo的代码仓库增加水印设置

CodeArts Repo支持为代码仓库增加水印,以此保护代码仓库的知识产权。

水印设置位于代码仓库详情中的 设置 > 安全管理 > 水印设置

打开水印设置按钮,该代码仓库将展示如下的水印内容:账户+时间。

锁定CodeArts Repo的代码仓库

CodeArts Repo支持锁定代码仓库,以此防止任何人破坏即将发布版本的代码仓库。

锁定仓库设置位于代码仓库详情中的 设置 > 安全管理 > 锁定仓库。拥有修改“设置”权限的仓库成员可以执行此操作。

打开水印设置按钮,表示锁定该代码仓库,锁定后将完全只读,任何人无法向任何分支提交代码,也不能创建评论和其他相关新增的操作。

为CodeArts Repo代码仓库设置IP白名单

CodeArts支持通过设置IP白名单的IP范围和访问权限,限制用户的访问和上传下载权限,增强代码仓库的安全性。IP白名单仅对可见范围为“私有”“项目内成员只读”“租户内成员只读”的仓库生效。

IP白名单设置位于代码仓库详情中的 设置 > 安全管理 > IP白名单。IP白名单支持IPv4和IPv6,有3种格式,如下表所示。

单击“新建IP白名单”,参考下表填写参数,如果您需要修改,单击IP白名单所在行的即可。

表1 新建IP白名单参数说明

参数

说明

IPv4

如果选择该参数,您指定IP、设置IP范围或者设置CIDR格式的路由,区别如下:

  • 指定IP,表示该IP将被添加到白名单中,例如将您的个人家庭电脑的IP添加到白名单中。
  • 指定IP范围,当您拥有不止一台服务器而且IP段是连续的,或者您的IP会在一个网段内动态变化,您可以添加一个IP白名单范围。示例:100.*.*.0 - 100.*.*.255。
  • 设置CIDR格式的路由,当您的服务器在一个局域网内并使用CIDR路由时,您可以指定局域网的32位出口IP以及一个指定网络前缀的位数。从同一个IP发起的请求,只要网络前缀同您设定的前缀部分相同,即可视为来自同一授信范围从而被接受。

IPv6

如果选择该参数,您指定IP、设置IP范围,可参考指定IP设置IP范围

备注

非必填参数。

访问控制

非必填参数,根据您的需要,勾选对应选项即可:

  • 允许访问仓库:勾选该选项后,白名单内的IP才可以访问该仓库,仓库所有者不受限制。
  • 允许下载代码:勾选该选项后,白名单内的IP允许在线下载、本地克隆代码。
  • 允许提交代码:勾选该选项后,白名单内的IP才可以在线修改、在线上传和本地提交代码;构建工程代码化编排,yaml文件同步功能不受访问控制。
  • 如果您需要对租户下的所有代码仓库统一设置IP白名单,登录您的代码托管服务仓库列表页,单击右上角昵称,单击“租户设置 > 代码托管 > 租户级IP白名单”,进入页面,其配置规则与如上配置相同。
  • 如果您想导入其他租户的代码仓库,但其他租户设置了IP白名单,那么您将导入失败,请联系您的管理员获取代理IP,并让目标租户在IP白名单中增加此代理IP。

CodeArts Repo记录审计日志

CodeArts Repo支持更改代码仓库属性,因此CodeArts Repo会将关于该代码仓的代码提交、合并请求等信息进行记录,每一条审计日志包含操作者、操作类型和操作内容,您可以根据时间段进行筛选查看。

调整仓库公开性

CodeArts Repo支持调整仓库的公开性。

在CodeArts首页,单击个人头像,选择“租户设置”,在左侧导航栏选择“代码托管 > 调整仓库公开性”,单击“调整”,可调整租户下代码仓库的公开性。

  • 如果界面图如下图所示,表示可新建公开代码仓(组),可设置代码仓可见范围为公开。

  • 如果界面图如下图所示,表示禁止新建公开代码仓(组),不可设置代码仓可见范围为公开。

相关文档