minder

| | | |

Minder adalah platform sumber terbuka yang membantu tim pengembangan dan komunitas sumber terbuka membangun perangkat lunak yang lebih aman, dan membuktikan kepada orang lain bahwa apa yang mereka buat aman. Minder membantu pemilik proyek secara proaktif mengelola postur keamanan mereka dengan menyediakan serangkaian pemeriksaan dan kebijakan untuk meminimalkan risiko di sepanjang rantai pasokan perangkat lunak, dan membuktikan praktik keamanan mereka kepada konsumen hilir.

Minder memungkinkan pengguna untuk mendaftarkan repositori dan menentukan kebijakan untuk memastikan repositori dan artefak dikonfigurasi secara konsisten dan aman. Kebijakan dapat diatur untuk hanya mengingatkan atau melakukan pemulihan otomatis. Minder menyediakan seperangkat aturan yang telah ditentukan sebelumnya dan juga dapat dikonfigurasi untuk menerapkan aturan khusus.

Minder dapat digunakan sebagai diagram Helm dan menyediakan alat CLI minder . Stacklok, perusahaan yang mendukung Minder, juga menyediakan versi Minder yang dihosting secara gratis (hanya untuk repositori publik). Minder dirancang agar dapat diperluas, memungkinkan pengguna untuk berintegrasi dengan peralatan dan proses yang ada.

• Konfigurasi dan keamanan repo: Menyederhanakan konfigurasi dan pengelolaan pengaturan dan kebijakan keamanan di seluruh repo.
• Penegakan keamanan proaktif: Terus terapkan konfigurasi keamanan praktik terbaik dengan menetapkan kebijakan terperinci untuk hanya memberikan peringatan atau melakukan pemulihan otomatis.
• Pengesahan artefak: Verifikasi terus-menerus bahwa paket telah ditandatangani untuk memastikan paket tersebut tahan terhadap kerusakan, menggunakan proyek sumber terbuka Sigstore.
• Manajemen ketergantungan: Kelola postur keamanan ketergantungan dengan membantu pengembang membuat pilihan yang lebih baik dan menerapkan kontrol. Minder terintegrasi dengan OSV dan Trusty untuk memungkinkan manajemen ketergantungan berbasis kebijakan berdasarkan tingkat risiko ketergantungan.

Stacklok, sebuah perusahaan yang mendukung Minder, menyediakan layanan Minder untuk umum yang dapat digunakan secara gratis. Ini adalah contoh default yang digunakan saat Anda menggunakan CLI minder . Mesin virtual ini hanya tersedia untuk repositori publik.

Memulai dan menjalankan Minder membutuhkan waktu kurang dari satu menit dan semudah:

1. Memasang Pengingat
2. Masuk ke Minder
3. dan menjalankan minder quickstart untuk membuat profil pertama Anda.

Hanya dalam beberapa detik, Anda akan mendaftarkan repositori Anda dan mengaktifkan perlindungan pemindaian rahasia untuk semuanya! ?

Pilih metode pilihan Anda untuk menginstal minder :

Pastikan Anda telah menginstal Homebrew.

brew install minder

Pastikan Anda telah menginstal Winget.

winget install stacklok.minder

Unduh rilis terbaru dari minder/releases.

Bangun minder dan minder-server dari sumber dengan mengikuti panduan build dari sumber.

Untuk menggunakan minder dengan instance publik Minder ( api.stacklok.com ), masuklah dengan menjalankan:

minder auth login

Setelah selesai, Anda akan melihat bahwa Server Minder diatur ke api.stacklok.com .

Perintah quickstart memandu Anda membuat profil pertama di Minder, mendaftarkan repositori Anda, dan mengaktifkan perlindungan pemindaian rahasia untuk repositori Anda dalam hitungan detik.

Untuk melakukannya, jalankan:

minder quickstart

Ini akan meminta Anda untuk mendaftarkan penyedia Anda, memilih repositori yang Anda inginkan, membuat tipe aturan secret_scanning dan membuat profil yang memungkinkan pemindaian rahasia untuk repositori yang dipilih.

Untuk melihat status profil Anda, jalankan:

minder profile status list --profile quickstart-profile --detailed

Anda akan melihat status profil keseluruhan dan tampilan detail status evaluasi aturan untuk setiap repositori terdaftar Anda.

Minder akan terus melacak repositori Anda dan akan memastikan untuk memperbaiki penyimpangan apa pun dari keadaan yang diinginkan dengan menggunakan fitur remediate atau memperingatkan Anda, jika diperlukan, menggunakan fitur alert .

Selamat! ? Anda sekarang telah berhasil membuat profil pertama Anda!

Anda sekarang dapat terus menjelajahi fitur Minder dengan menambah atau menghapus lebih banyak repositori, membuat lebih banyak profil dengan berbagai aturan, dan banyak lagi. Ada lebih banyak hal di Minder daripada sekadar pemindaian rahasia.

Aturan secret_scanning hanyalah salah satu dari banyak jenis aturan yang didukung Minder.

Anda dapat melihat daftar lengkap aturan dan profil siap pakai yang dikelola oleh tim Minder di sini - mindersec/minder-rules-and-profiles.

Jika ada sesuatu yang belum Anda temukan di sana, Minder dirancang agar dapat diperluas. Hal ini memungkinkan pengguna untuk membuat jenis dan profil aturan khusus mereka sendiri dan memastikan postur keamanan mereka secara spesifik dibuktikan.

Sekarang setelah semuanya siap, Anda dapat terus menjalankan perintah minder terhadap instance publik Minder di mana Anda dapat mengelola repositori terdaftar Anda, membuat profil, aturan, dan banyak lagi, sehingga Anda dapat memastikan repositori Anda dikonfigurasi secara konsisten dan aman.

Untuk informasi lebih lanjut tentang minder , lihat:

• perintah CLI minder - Dokumen.
• dokumentasi REST API minder - Dokumen.
• aturan dan profil minder dikelola oleh tim Minder - GitHub.
• Dokumentasi minder - Dokumen.

Komunitas Minder secara aktif mengerjakan fitur-fitur baru dan peningkatan untuk Minder.

Anda dapat menemukan peta jalan kami di sini.

Jika Anda ingin meminta atau menyumbangkan fitur atau peningkatan, silakan gunakan templat terbitan berikut

Bagian ini menjelaskan cara membuat dan menjalankan Minder dari sumber.

Anda memerlukan alat berikut yang tersedia - Go, Docker, dan Docker Compose.

Untuk membangun dan menjalankan minder-server , Anda juga memerlukan ko.

Untuk menjalankan test suite melalui make test , Anda memerlukan gotestfmt dan helm.

Untuk memanggil target make run-docker , Anda memerlukan yq.

git clone [email protected]:mindersec/minder.git

Jalankan perintah berikut untuk membangun minder dan minder-server (biner akan ada di ./bin/ )

make build

Untuk menggunakan minder dengan instance publik Minder ( api.stacklok.com ), jalankan:

minder auth login

Setelah selesai, Anda akan melihat bahwa Server Minder diatur ke api.stacklok.com .

Jika Anda ingin menjalankan minder terhadap instance minder-server lokal, lanjutkan dengan langkah-langkah di bawah ini.

Buat file konfigurasi awal untuk minder . Anda dapat melakukannya dengan melakukan.

cp config/config.yaml.example config.yaml

Buat file konfigurasi awal untuk minder-server . Anda dapat melakukannya dengan melakukan.

cp config/server-config.yaml.example server-config.yaml

Anda juga harus menyiapkan aplikasi OAuth2 agar minder-server dapat digunakan. Setelah selesai, perbarui file konfigurasi dengan nilai yang sesuai. Lihat dokumentasi tentang cara melakukannya - Dokumen.

Mulai minder-server beserta layanan dependennya ( keycloak dan postgres ) dengan menjalankan:

make run-docker

minder-server menggunakan Keycloak sebagai IAM. Untuk masuk, Anda perlu menyiapkan aplikasi GitHub OAuth2 dan mengonfigurasi Keycloak untuk menggunakannya.

Buat aplikasi OAuth2 untuk GitHub di sini. Pilih New OAuth App dan isi detailnya. URL panggilan balik harus http://localhost:8081/realms/stacklok/broker/github/endpoint . Buat rahasia klien baru untuk klien OAuth2 Anda.

Menggunakan client_id dan client_secret yang Anda buat di atas, aktifkan login GitHub di Keycloak dengan menjalankan perintah berikut:

make KC_GITHUB_CLIENT_ID= < client_id > KC_GITHUB_CLIENT_SECRET= < client_secret > github-login

Pastikan file config.yaml ada di direktori saat ini sehingga minder dapat menggunakannya.

Jalankan minder terhadap instance Minder lokal Anda ( localhost:8090 ):

minder auth login

Setelah selesai, Anda akan melihat bahwa Server Minder diatur ke localhost:8090 .

Secara default, CLI minder akan menunjuk ke lingkungan Stacklok produksi jika file konfigurasi tidak ada, namun membuat config.yaml untuk menjalankan server akan mengarahkan CLI ke lingkungan pengembangan lokal Anda. Jika Anda secara eksplisit ingin menggunakan instance yang berbeda, Anda dapat mengatur variabel lingkungan MINDER_CONFIG agar menunjuk ke konfigurasi tertentu. Kami memiliki konfigurasi untuk pengembangan lokal, lingkungan produksi Stacklok, dan lingkungan pementasan Stacklok (sering diperbarui) yang diperiksa ke direktori config .

Anda dapat menemukan informasi lebih rinci tentang proses pengembangan di Panduan Pengembang.

• Dokumentasi REST API - Tautan.

• Dokumentasi Proto API - Tautan.

• Protobuf - Tautan.

• Spesifikasi OpenAPI/swagger (JSON) - Tautan.

Kami menyambut baik kontribusi untuk Minder. Silakan lihat panduan Berkontribusi kami untuk informasi lebih lanjut.

Proyek Minder mengikuti praktik terbaik untuk keamanan dan transparansi rantai pasokan perangkat lunak.

Semua aset yang dilepaskan:

• Memiliki asal SLSA Build Level 3 yang dihasilkan dan dapat diverifikasi. Untuk informasi lebih lanjut, lihat situs web SLSA.
• Telah ditandatangani dan diverifikasi selama rilis menggunakan proyek Sigstore. Hal ini memastikan bahwa data tersebut tahan terhadap kerusakan dan dapat diverifikasi oleh siapa pun.
• Buat arsip SBOM dibuat dan diterbitkan bersamaan dengan rilisnya. Hal ini memungkinkan pengguna untuk memahami ketergantungan proyek dan postur keamanannya.

Minder dilisensikan di bawah Lisensi Apache 2.0.