minder

| | | |

Minder ist eine Open-Source-Plattform, die Entwicklungsteams und Open-Source-Communities dabei hilft, sicherere Software zu entwickeln und anderen zu beweisen, dass das, was sie erstellt haben, sicher ist. Minder hilft Projektinhabern, ihre Sicherheitslage proaktiv zu verwalten, indem es eine Reihe von Kontrollen und Richtlinien bereitstellt, um Risiken entlang der Software-Lieferkette zu minimieren und ihre Sicherheitspraktiken gegenüber nachgelagerten Verbrauchern zu bestätigen.

Mit Minder können Benutzer Repositorys registrieren und Richtlinien definieren, um sicherzustellen, dass Repositorys und Artefakte konsistent und sicher konfiguriert werden. Richtlinien können so eingestellt werden, dass sie nur Warnungen auslösen oder automatisch Abhilfe schaffen. Minder bietet einen vordefinierten Satz von Regeln und kann auch so konfiguriert werden, dass benutzerdefinierte Regeln angewendet werden.

Minder kann als Helm-Chart bereitgestellt werden und bietet ein CLI-Tool minder . Stacklok, ein Unternehmen, das Minder unterstützt, bietet auch eine kostenlose gehostete Version von Minder an (nur für öffentliche Repositories). Minder ist erweiterbar und ermöglicht Benutzern die Integration in ihre vorhandenen Tools und Prozesse.

• Repository-Konfiguration und -Sicherheit: Vereinfachen Sie die Konfiguration und Verwaltung von Sicherheitseinstellungen und -richtlinien über Repositorys hinweg.
• Proaktive Sicherheitsdurchsetzung: Setzen Sie kontinuierlich Best-Practice-Sicherheitskonfigurationen durch, indem Sie detaillierte Richtlinien festlegen, die nur Warnungen auslösen oder automatisch Abhilfe schaffen.
• Artefaktbescheinigung: Überprüfen Sie mithilfe des Open-Source-Projekts Sigstore kontinuierlich, ob Pakete signiert sind, um sicherzustellen, dass sie manipulationssicher sind.
• Abhängigkeitsmanagement: Verwalten Sie den Sicherheitsstatus von Abhängigkeiten, indem Sie Entwicklern helfen, bessere Entscheidungen zu treffen und Kontrollen durchzusetzen. Minder ist in OSV und Trusty integriert, um ein richtliniengesteuertes Abhängigkeitsmanagement basierend auf dem Risikoniveau von Abhängigkeiten zu ermöglichen.

Stacklok, ein Unternehmen, das Minder unterstützt, bietet eine kostenlose öffentliche Instanz von Minder. Dies ist die Standardinstanz, die verwendet wird, wenn Sie die minder -CLI verwenden. Diese Instanz ist nur für öffentliche Repositorys verfügbar.

Die Inbetriebnahme von Minder dauert weniger als eine Minute und ist so einfach wie:

1. Minder installieren
2. Bei Minder anmelden
3. und führen Sie minder quickstart aus, um Ihr erstes Profil zu erstellen.

In nur wenigen Sekunden registrieren Sie Ihre Repositorys und aktivieren den geheimen Scanschutz für alle! ?

Wählen Sie Ihre bevorzugte Methode zur Installation minder :

Stellen Sie sicher, dass Homebrew installiert ist.

brew install minder

Stellen Sie sicher, dass Winget installiert ist.

winget install stacklok.minder

Laden Sie die neueste Version von minder/releases herunter.

Erstellen Sie minder und minder-server aus dem Quellcode, indem Sie der Anleitung zum Erstellen aus dem Quellcode folgen.

Um minder mit der öffentlichen Instanz von Minder ( api.stacklok.com ) zu verwenden, melden Sie sich an, indem Sie Folgendes ausführen:

minder auth login

Nach Abschluss sollten Sie sehen, dass der Minder-Server auf api.stacklok.com eingestellt ist.

Der quickstart führt Sie in Sekundenschnelle durch die Erstellung Ihres ersten Profils in Minder, die Registrierung Ihrer Repositorys und die Aktivierung des geheimen Scanschutzes für Ihre Repositorys.

Führen Sie dazu Folgendes aus:

minder quickstart

Dadurch werden Sie aufgefordert, Ihren Anbieter zu registrieren, die gewünschten Repositorys auszuwählen, den Regeltyp secret_scanning zu erstellen und ein Profil zu erstellen, das geheimes Scannen für die ausgewählten Repositorys ermöglicht.

Um den Status Ihres Profils anzuzeigen, führen Sie Folgendes aus:

minder profile status list --profile quickstart-profile --detailed

Sie sollten den Gesamtprofilstatus und eine detaillierte Ansicht der Regelauswertungsstatus für jedes Ihrer registrierten Repositorys sehen.

Minder behält weiterhin den Überblick über Ihre Repositorys und stellt sicher, dass etwaige Abweichungen vom gewünschten Zustand mithilfe der remediate behoben werden, oder benachrichtigt Sie bei Bedarf mithilfe der alert .

Glückwunsch! ? Sie haben nun erfolgreich Ihr erstes Profil erstellt!

Sie können nun die Funktionen von Minder weiter erkunden, indem Sie weitere Repositorys hinzufügen oder entfernen, weitere Profile mit verschiedenen Regeln erstellen und vieles mehr. Minder bietet viel mehr als nur geheimes Scannen.

Die Regel secret_scanning ist nur einer der vielen Regeltypen, die Minder unterstützt.

Die vollständige Liste der vom Minder-Team verwalteten gebrauchsfertigen Regeln und Profile finden Sie hier: mindersec/minder-rules-and-profiles.

Für den Fall, dass Sie dort etwas noch nicht finden: Minder ist erweiterbar. Auf diese Weise können Benutzer ihre eigenen benutzerdefinierten Regeltypen und Profile erstellen und sicherstellen, dass die Besonderheiten ihres Sicherheitsstatus bestätigt werden.

Nachdem Sie nun alles eingerichtet haben, können Sie weiterhin minder -Befehle für die öffentliche Instanz von Minder ausführen, wo Sie Ihre registrierten Repositorys verwalten, Profile, Regeln und vieles mehr erstellen und so sicherstellen können, dass Ihre Repositorys konsistent und sicher konfiguriert sind.

Weitere Informationen zu minder finden Sie unter:

• minder CLI-Befehle – Dokumente.
• minder REST API-Dokumentation – Dokumente.
• minder -Regeln und -Profile, die vom Minder-Team gepflegt werden – GitHub.
• Minder-Dokumentation – Dokumente.

Die Minder-Community arbeitet aktiv an neuen Funktionen und Verbesserungen für Minder.

Unsere Roadmap finden Sie hier.

Wenn Sie eine Funktion oder Verbesserung anfordern oder beisteuern möchten, verwenden Sie bitte die folgende Problemvorlage

In diesem Abschnitt wird beschrieben, wie Sie Minder aus dem Quellcode erstellen und ausführen.

Sie benötigen die folgenden Tools: Go, Docker und Docker Compose.

Um minder-server zu erstellen und auszuführen, benötigen Sie außerdem ko.

Um die Testsuite über make test auszuführen, benötigen Sie gotestfmt und helm.

Um das run-docker -Make-Ziel aufzurufen, benötigen Sie yq.

git clone [email protected]:mindersec/minder.git

Führen Sie Folgendes aus, um minder und minder-server zu erstellen (Binärdateien sind unter ./bin/ vorhanden).

make build

Um minder mit der öffentlichen Instanz von Minder ( api.stacklok.com ) zu verwenden, führen Sie Folgendes aus:

minder auth login

Nach Abschluss sollten Sie sehen, dass der Minder-Server auf api.stacklok.com eingestellt ist.

Wenn Sie minder auf einer lokalen minder-server Instanz ausführen möchten, fahren Sie mit den folgenden Schritten fort.

Erstellen Sie die anfängliche Konfigurationsdatei für minder . Sie können dies tun, indem Sie dies tun.

cp config/config.yaml.example config.yaml

Erstellen Sie die anfängliche Konfigurationsdatei für minder-server . Sie können dies tun, indem Sie dies tun.

cp config/server-config.yaml.example server-config.yaml

Sie müssten außerdem eine OAuth2-Anwendung einrichten, damit minder-server sie verwenden kann. Aktualisieren Sie nach Abschluss die Konfigurationsdatei mit den entsprechenden Werten. Weitere Informationen dazu finden Sie in der Dokumentation – Dokumente.

Starten Sie minder-server zusammen mit seinen abhängigen Diensten ( keycloak und postgres ), indem Sie Folgendes ausführen:

make run-docker

minder-server verwendet Keycloak als IAM. Um sich anzumelden, müssen Sie eine GitHub OAuth2-Anwendung einrichten und Keycloak für die Verwendung konfigurieren.

Erstellen Sie hier eine OAuth2-Anwendung für GitHub. Wählen Sie New OAuth App und geben Sie die Details ein. Die Rückruf-URL sollte http://localhost:8081/realms/stacklok/broker/github/endpoint lauten. Erstellen Sie ein neues Client-Geheimnis für Ihren OAuth2-Client.

Aktivieren Sie mithilfe der oben erstellten client_id und client_secret die GitHub-Anmeldung bei Keycloak, indem Sie den folgenden Befehl ausführen:

make KC_GITHUB_CLIENT_ID= < client_id > KC_GITHUB_CLIENT_SECRET= < client_secret > github-login

Stellen Sie sicher, dass die Datei config.yaml im aktuellen Verzeichnis vorhanden ist, damit minder sie verwenden kann.

Führen Sie minder für Ihre lokale Instanz von Minder aus ( localhost:8090 ):

minder auth login

Nach Abschluss sollten Sie sehen, dass der Minder-Server auf localhost:8090 eingestellt ist.

Standardmäßig verweist die minder -CLI auf die Stacklok-Produktionsumgebung, wenn keine Konfigurationsdatei vorhanden ist. Wenn Sie jedoch die config.yaml zum Ausführen des Servers erstellen, verweist die CLI auf Ihre lokale Entwicklungsumgebung. Wenn Sie explizit eine andere Instanz verwenden möchten, können Sie die Umgebungsvariable MINDER_CONFIG so festlegen, dass sie auf eine bestimmte Konfiguration verweist. Wir haben Konfigurationen für die lokale Entwicklung, die Stacklok-Produktionsumgebung und die Stacklok-Staging-Umgebung (häufig aktualisiert) im config eingecheckt.

Ausführlichere Informationen zum Entwicklungsprozess finden Sie im Developer Guide.

• REST-API-Dokumentation – Link.

• Proto-API-Dokumentation – Link.

• Protobuf - Link.

• OpenAPI/Swagger-Spezifikation (JSON) – Link.

Wir freuen uns über Beiträge zu Minder. Weitere Informationen finden Sie in unserem Beitragsleitfaden.

Das Minder-Projekt folgt den Best Practices für Sicherheit und Transparenz der Software-Lieferkette.

Alle freigegebenen Assets:

• Sie müssen über eine generierte und überprüfbare SLSA Build Level 3-Herkunft verfügen. Weitere Informationen finden Sie auf der SLSA-Website.
• Wurden während der Veröffentlichung mit dem Sigstore-Projekt signiert und verifiziert. Dies stellt sicher, dass sie manipulationssicher sind und von jedermann überprüft werden können.
• Lassen Sie ein SBOM-Archiv generieren und zusammen mit dem Release veröffentlichen. Dadurch können Benutzer die Abhängigkeiten des Projekts und ihre Sicherheitslage verstehen.

Minder ist unter der Apache 2.0-Lizenz lizenziert.