Безопасность в Semaphore UI
Semaphore UI — это самоуправляемая платформа, которая позволяет командам DevOps безопасно автоматизировать инфраструктуру с помощью Ansible, Terraform и пользовательских скриптов.
Мы понимаем, что безопасность критически важна для наших пользователей, и этот документ описывает принципы, практики и функции, которые помогают защитить ваши данные и системы.
🔐 Хранение данных и конфиденциальность
- Semaphore UI полностью самохостинг — все ваши данные остаются в вашей среде.
- Мы не собираем и не передаем ваши учетные данные, секреты, инвентаризации, плейбуки, журналы или телеметрию.
- У вас есть полный контроль над хранением данных, доступом, резервным копированием и политиками хранения.
🔧 Безопасность по дизайну
- Разработан на Go, скомпилированном, безопасном по памяти языке.
- Минимальные внешние зависимости.
- Четкое разделение между веб-интерфейсом, API и исполнителями задач.
- Следует принципу наименьших привилегий для внутренних операций.
🔍 Инструменты безопасности кода
Для поддержания качества кода и предотвращения проблем с безопасностью мы используем следующие инструменты:
- GitHub CodeQL — семантический анализ кода, который запрашивает код как данные для обнаружения уязвимостей и ошибок.
- Codacy — статический анализ кода для оценки качества кода.
- Snyk — автоматическое сканирование на наличие известных уязвимостей в зависимостях.
- RenovateBot — автоматизирует обновления зависимостей, чтобы уменьшить риск использования устаревших или уязвимых пакетов.
🧑💼 Контроль доступа и аутентификация
- Встроенный контроль доступа на основе ролей (Владелец, Менеджер, Исполнитель задач, Гость).
- Опциональная Двухфакторная аутентификация (TOTP).
- Изоляция на уровне проектов и окружений.
- Поддержка LDAP и OAuth2 SSO.
🔍 Аудит и мониторинг
- Все действия в интерфейсе записываются с отметками времени и идентификаторами пользователей.
- Журналы хранятся локально и могут быть экспортированы в внешние инструменты для ведения журналов или SIEM.
- Может быть развернут за обратным прокси (например, NGINX, Traefik) для добавления фильтрации IP, ограничения скорости и расширенной аутентификации.
🔄 Обновления и управление патчами
- Мы рекомендуем всегда использовать последнюю стабильную версию.
- Патчи безопасности выпускаются быстро после подтверждения и исправления проблем.
📣 Ответственное раскрытие
Если вы обнаружите уязвимость в безопасности, пожалуйста, сообщите об этом ответственно, отправив электронное письмо на [email protected].
Мы стремимся:
- Подтвердить получение вашего сообщения в течение 1 рабочего дня.
- Предоставить решение или обновление статуса в течение 7 рабочих дней.
🛠️ Лучшие практики безопасного развертывания
Чтобы обеспечить безопасную установку:
- Запускайте Semaphore UI в частной сети или VPN.
- Завершите HTTPS с помощью обратного прокси с действительным TLS-сертификатом.
- Ограничьте внешний доступ с помощью правил брандмауэра или списков разрешенных IP.
- Регулярно обновляйте вашу инстанцию Semaphore UI и зависимости.
📜 Соответствие и конфиденциальность
Semaphore UI ориентирован на конфиденциальность и помогает поддерживать ваши усилия по соблюдению норм:
- GDPR: Все данные остаются локальными и под вашим контролем.
- CCPA: Нет отслеживания, нет профилирования, нет обмена данными с третьими сторонами.
✅ Резюме
Semaphore UI создан для безопасности и конфиденциальности по дизайну. Он дает командам возможность автоматизации, не жертвуя контролем. При правильной установке и конфигурации он может соответствовать даже строгим внутренним требованиям безопасности.
Вопросы? Свяжитесь с нами по адресу [email protected].