minder

| | | |

Minder es una plataforma de código abierto que ayuda a los equipos de desarrollo y a las comunidades de código abierto a crear software más seguro y a demostrar a otros que lo que han creado es seguro. Minder ayuda a los propietarios de proyectos a gestionar de forma proactiva su postura de seguridad proporcionando un conjunto de comprobaciones y políticas para minimizar el riesgo a lo largo de la cadena de suministro de software y certificar sus prácticas de seguridad ante los consumidores intermedios.

Minder permite a los usuarios inscribir repositorios y definir políticas para garantizar que los repositorios y los artefactos estén configurados de manera consistente y segura. Las políticas se pueden configurar para que solo alerten o se corrijan automáticamente. Minder proporciona un conjunto predefinido de reglas y también se puede configurar para aplicar reglas personalizadas.

Minder se puede implementar como un gráfico Helm y proporciona una herramienta CLI minder . Stacklok, una empresa que respalda a Minder, también proporciona una versión alojada de uso gratuito de Minder (solo para repositorios públicos). Minder está diseñado para ser extensible, permitiendo a los usuarios integrarse con sus herramientas y procesos existentes.

• Configuración y seguridad del repositorio: simplifique la configuración y la gestión de las configuraciones y políticas de seguridad en todos los repositorios.
• Aplicación proactiva de la seguridad: aplique continuamente las mejores prácticas de configuración de seguridad estableciendo políticas granulares para alertar únicamente o corregir automáticamente.
• Atestación de artefactos: verifique continuamente que los paquetes estén firmados para garantizar que sean a prueba de manipulaciones, utilizando el proyecto de código abierto Sigstore.
• Gestión de dependencias: gestione la postura de seguridad de las dependencias ayudando a los desarrolladores a tomar mejores decisiones y haciendo cumplir los controles. Minder está integrado con OSV y Trusty para permitir la gestión de dependencias basada en políticas según el nivel de riesgo de las dependencias.

Stacklok, una empresa que respalda a Minder, proporciona una instancia pública de uso gratuito de Minder. Esta es la instancia predeterminada que se utiliza cuando se utiliza la CLI minder . Esta instancia está disponible solo para repositorios públicos.

Ponerse en marcha con Minder lleva menos de un minuto y es tan fácil como:

1. Instalación de Minder
2. Iniciar sesión en Minder
3. y ejecutar minder quickstart para crear su primer perfil.

¡En solo unos segundos, registrará sus repositorios y habilitará la protección de escaneo secreto para todos ellos! ?

Elija su método preferido para instalar minder :

Asegúrate de tener Homebrew instalado.

brew install minder

Asegúrate de tener Winget instalado.

winget install stacklok.minder

Descargue la última versión de minder/releases.

Cree minder y minder-server desde el código fuente siguiendo la guía de compilación desde el código fuente.

Para utilizar minder con la instancia pública de Minder ( api.stacklok.com ), inicie sesión ejecutando:

minder auth login

Al finalizar, debería ver que Minder Server está configurado en api.stacklok.com .

El comando quickstart lo guía a través de la creación de su primer perfil en Minder, el registro de sus repositorios y la habilitación de la protección de escaneo secreto para sus repositorios en segundos.

Para hacerlo, ejecute:

minder quickstart

Esto le pedirá que inscriba a su proveedor, seleccione los repositorios que desee, cree el tipo de regla secret_scanning y cree un perfil que permita el escaneo secreto para los repositorios seleccionados.

Para ver el estado de su perfil, ejecute:

minder profile status list --profile quickstart-profile --detailed

Debería ver el estado general del perfil y una vista detallada de los estados de evaluación de reglas para cada uno de sus repositorios registrados.

Minder continuará realizando un seguimiento de sus repositorios y se asegurará de corregir cualquier desviación del estado deseado mediante la función remediate o le avisará, si es necesario, mediante la función alert .

¡Felicidades! ? ¡Ya has creado exitosamente tu primer perfil!

Ahora puede continuar explorando las funciones de Minder agregando o eliminando más repositorios, creando más perfiles con varias reglas y mucho más. Minder es mucho más que un simple escaneo secreto.

La regla secret_scanning es solo uno de los muchos tipos de reglas que admite Minder.

Puede ver la lista completa de reglas y perfiles listos para usar mantenidos por el equipo de Minder aquí: mindersec/minder-rules-and-profiles.

En caso de que haya algo que aún no encuentre allí, Minder está diseñado para ser extensible. Esto permite a los usuarios crear sus propios tipos de reglas y perfiles personalizados y garantizar que se acrediten las características específicas de su postura de seguridad.

Ahora que tiene todo configurado, puede continuar ejecutando comandos minder en la instancia pública de Minder donde puede administrar sus repositorios registrados, crear perfiles, reglas y mucho más, para asegurarse de que sus repositorios estén configurados de manera consistente y segura.

Para obtener más información sobre minder , consulte:

• Comandos CLI minder - Docs.
• Documentación de la API REST minder : Docs.
• Reglas y perfiles minder mantenidos por el equipo de Minder: GitHub.
• Documentación de Minder: Docs.

La comunidad de Minder está trabajando activamente en nuevas funciones y mejoras para Minder.

Puede encontrar nuestra hoja de ruta aquí.

Si desea solicitar o contribuir con una característica o mejora, utilice la siguiente plantilla de problemas

Esta sección describe cómo construir y ejecutar Minder desde el código fuente.

Necesitaría las siguientes herramientas disponibles: Go, Docker y Docker Compose.

Para construir y ejecutar minder-server , también necesitarás ko.

Para ejecutar el conjunto de pruebas mediante make test , necesitará gotestfmt y helm.

Para invocar run-docker make target, necesitará yq.

git clone [email protected]:mindersec/minder.git

Ejecute lo siguiente para compilar minder y minder-server (los archivos binarios estarán presentes en ./bin/ )

make build

Para usar minder con la instancia pública de Minder ( api.stacklok.com ), ejecute:

minder auth login

Al finalizar, debería ver que Minder Server está configurado en api.stacklok.com .

Si desea ejecutar minder en una instancia minder-server local, continúe con los pasos a continuación.

Cree el archivo de configuración inicial para minder . Puedes hacerlo haciendo.

cp config/config.yaml.example config.yaml

Cree el archivo de configuración inicial para minder-server . Puedes hacerlo haciendo.

cp config/server-config.yaml.example server-config.yaml

También tendría que configurar una aplicación OAuth2 para que la use minder-server . Una vez completado, actualice el archivo de configuración con los valores apropiados. Consulte la documentación sobre cómo hacerlo: Docs.

Inicie minder-server junto con sus servicios dependientes ( keycloak y postgres ) ejecutando:

make run-docker

minder-server utiliza Keycloak como IAM. Para iniciar sesión, deberá configurar una aplicación GitHub OAuth2 y configurar Keycloak para usarla.

Cree una aplicación OAuth2 para GitHub aquí. Seleccione New OAuth App y complete los detalles. La URL de devolución de llamada debe ser http://localhost:8081/realms/stacklok/broker/github/endpoint . Cree un nuevo secreto de cliente para su cliente OAuth2.

Usando client_id y client_secret que creó anteriormente, habilite el inicio de sesión de GitHub en Keycloak ejecutando el siguiente comando:

make KC_GITHUB_CLIENT_ID= < client_id > KC_GITHUB_CLIENT_SECRET= < client_secret > github-login

Asegúrese de que el archivo config.yaml esté presente en el directorio actual para que minder pueda usarlo.

Ejecute minder en su instancia local de Minder ( localhost:8090 ):

minder auth login

Al finalizar, debería ver que el servidor Minder está configurado en localhost:8090 .

De forma predeterminada, la CLI minder apuntará al entorno de producción de Stacklok si no hay un archivo de configuración presente, pero al crear el config.yaml para ejecutar el servidor, la CLI apuntará a su entorno de desarrollo local. Si desea utilizar explícitamente una instancia diferente, puede configurar la variable de entorno MINDER_CONFIG para que apunte a una configuración particular. Tenemos configuraciones para el desarrollo local, el entorno de producción de Stacklok y el entorno de preparación de Stacklok (actualizado con frecuencia) registrados en el directorio config .

Puede encontrar información más detallada sobre el proceso de desarrollo en la Guía para desarrolladores.

• Documentación de la API REST: enlace.

• Documentación de Proto API: enlace.

• Protobuf - Enlace.

• OpenAPI/especificación swagger (JSON) - Enlace.

Agradecemos las contribuciones a Minder. Consulte nuestra guía de contribución para obtener más información.

El proyecto Minder sigue las mejores prácticas para la seguridad y transparencia de la cadena de suministro de software.

Todos los activos liberados:

• Tener una procedencia SLSA Build Nivel 3 generada y verificable. Para obtener más información, consulte el sitio web de SLSA.
• Haber sido firmado y verificado durante el lanzamiento utilizando el proyecto Sigstore. Esto garantiza que sean a prueba de manipulaciones y que cualquiera pueda verificarlos.
• Haga que se genere y publique un archivo SBOM junto con el lanzamiento. Esto permite a los usuarios comprender las dependencias del proyecto y su postura de seguridad.

Minder tiene la licencia Apache 2.0.