安全提示

近期，Perforce產(chǎn)品安全團(tuán)隊(duì)發(fā)現(xiàn)部分暴露在公網(wǎng)的 P4（原Helix Core）服務(wù)器存在潛在的配置風(fēng)險(xiǎn)，可能導(dǎo)致源代碼泄露或未經(jīng)授權(quán)的訪問。

網(wǎng)絡(luò)安全是Perforce的首要任務(wù)。作為Perforce中國(guó)授權(quán)合作伙伴，龍智致力于幫助國(guó)內(nèi)客戶遵循Perforce安全和技術(shù)最佳實(shí)踐。為保護(hù)您的系統(tǒng)安全，我們建議您立即進(jìn)行配置審查，確保您的P4服務(wù)器遵循Perforce的安全加固指南。

如需協(xié)助排查和優(yōu)化配置，龍智為您提供快速的響應(yīng)和專業(yè)的技術(shù)支持。

Perforce致力于為用戶提供強(qiáng)大的控制力和高度可配置性。這種靈活性使客戶能夠根據(jù)自身的工作流程定制P4，但也意味著需要自行負(fù)責(zé)環(huán)境安全。為此，Perforce安全團(tuán)隊(duì)建議將服務(wù)器的初始設(shè)置、部署及持續(xù)維護(hù)工作交由經(jīng)驗(yàn)豐富的P4管理員，或提供本地化支持的龍智服務(wù)團(tuán)隊(duì)。

本文為P4部署提供了一個(gè)全面的安全框架。我們將根據(jù)五個(gè)關(guān)鍵的漏洞領(lǐng)域，提供詳細(xì)的配置建議，并分享一份可操作的清單，供您的團(tuán)隊(duì)實(shí)施，以保護(hù)您的知識(shí)產(chǎn)權(quán)。

潛在的安全漏洞

Perforce P4（原Helix Core）深受全球高度重視安全的團(tuán)隊(duì)的信賴，被用于管理和保護(hù)核心IP（如源代碼和二進(jìn)制資產(chǎn)）。但與任何先進(jìn)的系統(tǒng)一樣，其安全性在很大程度上依賴于正確的配置和維護(hù)。

若服務(wù)器長(zhǎng)期處于寬松的權(quán)限狀態(tài)，安全防護(hù)很可能會(huì)逐漸失效，并導(dǎo)致重大風(fēng)險(xiǎn)。任何連接互聯(lián)網(wǎng)的服務(wù)器都可能遭遇攻擊試探，P4服務(wù)器也不例外。

基于Perforce的內(nèi)部測(cè)試和客戶協(xié)作經(jīng)驗(yàn)，我們建議P4管理員實(shí)施以下的P4安全增強(qiáng)核查清單，并重點(diǎn)關(guān)注威脅P4部署的五大常見漏洞：

1. 公網(wǎng)暴露
2. 過度授權(quán)訪問
3. 遠(yuǎn)程倉(cāng)庫(kù)和代碼共享
4. 信息泄露
5. 審計(jì)盲區(qū)

以下章節(jié)所介紹的可行步驟對(duì)于增強(qiáng)P4服務(wù)器安全性、降低風(fēng)險(xiǎn)和保護(hù)整體環(huán)境至關(guān)重要。

P4管理員安全核查清單

安全防護(hù)絕非千篇一律，但每個(gè)P4管理員都應(yīng)該考慮一些基本步驟。請(qǐng)對(duì)照以下清單，評(píng)估您當(dāng)前的配置，并識(shí)別可立即處理的安全缺口。

1、審查超級(jí)用戶權(quán)限

目前誰(shuí)擁有超級(jí)訪問權(quán)限？

他們的日常工作需要該權(quán)限嗎？

訪問是否定期審核并記錄？

2、使用最低權(quán)限配置

P4權(quán)限是否按實(shí)際的團(tuán)隊(duì)結(jié)構(gòu)定制？

默認(rèn)權(quán)限是否過于寬泛（例如，寫入user * * //…）？

新用戶是否開始時(shí)僅具有所需的最低訪問權(quán)限？

是否為可訪問P4實(shí)例的用戶制定了入職/離職權(quán)限管理流程？

3、確保服務(wù)器和網(wǎng)絡(luò)安全

您的服務(wù)器是否暴露在互聯(lián)網(wǎng)或開放網(wǎng)絡(luò)中？

– 您的服務(wù)器是否在VPN內(nèi)？

– 您的服務(wù)器是否通過防火墻僅開放所需的端口？

您是否對(duì)操作系統(tǒng)進(jìn)行了適當(dāng)?shù)谋Ｗo(hù)（例如，限制直接登錄服務(wù)器的賬號(hào)以及登錄IP）？

您是否確保P4d服務(wù)沒有以root用戶身份運(yùn)行？

您是否啟用了SSL/TLS 加密連接？

4、啟用并監(jiān)控日志記錄

您是否使用結(jié)構(gòu)化日志來提升可觀測(cè)性？

您是否制定了日志輪換和保留策略？

5、加強(qiáng)核心服務(wù)器配置

您的安全等級(jí)是否設(shè)置為4或更高？

– 如果您的服務(wù)器處于多服務(wù)器環(huán)境，強(qiáng)烈建議設(shè)置為4；

– 如果安全等級(jí)低于建議值4，建議您確保正確設(shè)置對(duì)遠(yuǎn)程用戶的保護(hù)規(guī)則。

您是否設(shè)置了以下參數(shù)？

dm.user.noautocreate = 2 （禁用自動(dòng)創(chuàng)建用戶）dm.user.setinitialpasswd = 0 （防止無密碼創(chuàng)建用戶并自行設(shè)置，管理員/超級(jí)用戶請(qǐng)確保在更改之前已為自己設(shè)置強(qiáng)密碼！）dm.user.resetPassword = 1 （強(qiáng)制新用戶在初始登錄時(shí)重置密碼）dm.info.hide = 1 （隱藏服務(wù)器版本信息）run.users.authorize = 1 （對(duì)未經(jīng)身份驗(yàn)證的用戶隱藏用戶列表）dm.user.hideinvalid = 1 （防止用戶信息探測(cè)）

或許您無法立即解決所有問題，但持續(xù)的改進(jìn)才是關(guān)鍵。定期復(fù)查這些內(nèi)容有助于逐步提升整體的安全水平。請(qǐng)牢記：安全防護(hù)絕非一勞永逸——它需要與團(tuán)隊(duì)和基礎(chǔ)設(shè)施共同演進(jìn)。保持主動(dòng)防御，才能更好地應(yīng)對(duì)未來挑戰(zhàn)。

針對(duì)潛在漏洞的配置建議

公網(wǎng)暴露

雖然通過防火墻或VPN運(yùn)行P4被認(rèn)為是最佳實(shí)踐，但它并不總是可行的。無論是由于傳統(tǒng)設(shè)置、第三方協(xié)作還是多服務(wù)器環(huán)境，一些服務(wù)器都不可避免地暴露在公共互聯(lián)網(wǎng)上。

當(dāng)服務(wù)器暴露時(shí)，確保傳輸中的數(shù)據(jù)安全是最基本的保護(hù)措施。P4支持使用SSL/TLS的行業(yè)標(biāo)準(zhǔn)安全加密連接，確保客戶端和服務(wù)器之間的數(shù)據(jù)不受攔截或篡改。但需要注意的是：一旦啟用加密配置，所有P4客戶端都必須使用安全協(xié)議進(jìn)行連接。

1. 潛在風(fēng)險(xiǎn)：

若未啟用加密，客戶端和服務(wù)器之間的傳輸數(shù)據(jù)可能會(huì)被攔截，包括：

• 通過P4登錄提交的憑證；
• 正在同步或提交的文件內(nèi)容；

元數(shù)據(jù)，例如變更列表、用戶名、文件內(nèi)容等。

如果服務(wù)器是公開訪問的且未強(qiáng)制執(zhí)行加密通信，就很容易成為中間人攻擊、會(huì)話劫持和數(shù)據(jù)泄露的目標(biāo)。當(dāng)開發(fā)者遠(yuǎn)程辦公或使用不安全的網(wǎng)絡(luò)環(huán)境，風(fēng)險(xiǎn)會(huì)大大增加。

2.配置建議：

如果您的服務(wù)器可以通過公網(wǎng)或半信任的內(nèi)網(wǎng)訪問，請(qǐng)務(wù)必實(shí)施以下操作：

• 優(yōu)先使用受信任機(jī)構(gòu)簽發(fā)的證書。雖然P4支持自簽名證書，但正規(guī)證書可以減少摩擦，與外部協(xié)作者建立信任。
• 提前將變更告知團(tuán)隊(duì)。啟用SSL后，所有用戶都必須更新連接設(shè)置并重新驗(yàn)證（例如，從 P4 -p hostname:1666 更改為 P4 -p ssl: hostname: 1666）。

為所有P4D流量啟用SSL/TLS加密，確保傳輸中的數(shù)據(jù)不被竊聽或篡改。

加密是任何暴露在外網(wǎng)的現(xiàn)代系統(tǒng)的基本要求。在P4中設(shè)置SSL只需幾分鐘，但它提供的保護(hù)是持久且必不可少的。若忽視P4流量加密，您的系統(tǒng)將暴露于本可預(yù)防的風(fēng)險(xiǎn)之中，面臨潛在威脅的侵襲。

過度授權(quán)訪問

P4的權(quán)限保護(hù)系統(tǒng)（protections system）是其安全模型的核心。它精確控制著誰(shuí)可以跨用戶、群組甚至IP范圍訪問哪些內(nèi)容，讓您可以靈活地定義細(xì)粒度的權(quán)限。結(jié)合服務(wù)器的安全等級(jí)和其他可配置參數(shù)，這套系統(tǒng)決定了如何響應(yīng)認(rèn)證與非認(rèn)證用戶的請(qǐng)求。

默認(rèn)情況下，首個(gè)連接到新安裝服務(wù)器的用戶將被授予超級(jí)用戶權(quán)限（這是系統(tǒng)初始化的必要步驟），但最常見的安全疏忽之一，尤其是在新安裝的系統(tǒng)中，就是沒有更新默認(rèn)的權(quán)限設(shè)置。這意味著默認(rèn)情況下，系統(tǒng)中的所有用戶都擁有全部文件的寫入權(quán)限。如果還有低安全級(jí)別或自動(dòng)創(chuàng)建用戶等錯(cuò)誤配置，無疑會(huì)大大增加非授權(quán)訪問的風(fēng)險(xiǎn)。

1.潛在風(fēng)險(xiǎn)：

如果未對(duì)默認(rèn)設(shè)置進(jìn)行更改：

攻擊者可能會(huì)直接在服務(wù)器上創(chuàng)建新用戶。

該用戶可能會(huì)立即繼承對(duì)所有文件的寫入訪問權(quán)限。

某些配置下甚至無需設(shè)置密碼即可完成這一操作。

這將導(dǎo)致數(shù)據(jù)泄露、代碼篡改或未經(jīng)授權(quán)的權(quán)限提升等安全事件。

2.配置建議：

P4管理員需要定期查閱官方文檔，進(jìn)行配置審查。

獲取具體文檔，可咨詢龍智服務(wù)團(tuán)隊(duì)。

• 刪除授予所有用戶的默認(rèn)寫入權(quán)限：

– 刪除此行：write user * * //…– 改用根據(jù)團(tuán)隊(duì)結(jié)構(gòu)定制的基于組的精細(xì)化權(quán)限。

– 注意：慎用含user *的通配規(guī)則，即使是只讀權(quán)限也可能被攻擊者利用。

將服務(wù)器的安全等級(jí)設(shè)置為4（或更高），這將強(qiáng)制實(shí)施更強(qiáng)的密碼規(guī)則和訪問控制。

通過設(shè)置：dm.user.noautocreate=2，禁止自動(dòng)創(chuàng)建用戶，防止未經(jīng)授權(quán)的用戶在沒有管理員監(jiān)督的情況下創(chuàng)建帳戶。

通過設(shè)置：dm.user.setinitialpasswd=0，限制初始密碼設(shè)置權(quán)限，確保只有超級(jí)用戶才能初始化新帳戶的密碼。

權(quán)限系統(tǒng)應(yīng)該是動(dòng)態(tài)演進(jìn)的。隨著團(tuán)隊(duì)擴(kuò)張、項(xiàng)目迭代或臨時(shí)協(xié)作需求的變化，權(quán)限結(jié)構(gòu)需要進(jìn)行同步調(diào)整。我們建議：設(shè)計(jì)規(guī)范的代碼庫(kù)命名體系，建立與業(yè)務(wù)匹配的群組權(quán)限架構(gòu)。如需操作指導(dǎo)，請(qǐng)聯(lián)系龍智&Perforce技術(shù)支持團(tuán)隊(duì)。

遠(yuǎn)程倉(cāng)庫(kù)和代碼共享

P4通過遠(yuǎn)程倉(cāng)庫(kù)（remote depots）支持跨服務(wù)器協(xié)作。該功能借助內(nèi)置的remote特殊用戶來訪問其他服務(wù)器的內(nèi)容。這種機(jī)制適用于分布式開發(fā)或傳統(tǒng)工作流，但必須重視其潛在的安全風(fēng)險(xiǎn)。

1.潛在風(fēng)險(xiǎn)：

默認(rèn)情況下，遠(yuǎn)程用戶的訪問權(quán)限取決于權(quán)限表（protections table）設(shè)置。如果您的保護(hù)設(shè)置沒有明確限定權(quán)限范圍，且安全等級(jí)低于4，則可能導(dǎo)致倉(cāng)庫(kù)內(nèi)容在未完全認(rèn)證的情況下被意外暴露。

2.配置建議：

• 將安全等級(jí)提高到4或更高。這會(huì)自動(dòng)禁用遠(yuǎn)程用戶，并要求經(jīng)過身份驗(yàn)證的服務(wù)用戶才能進(jìn)行跨服務(wù)器訪問。
• 若無法采用安全等級(jí)4+，您需要使用權(quán)限表明確限制遠(yuǎn)程用戶的訪問。

• 如需支持，請(qǐng)咨詢龍智服務(wù)團(tuán)隊(duì)，了解具體操作步驟。
• 更安全的共享選項(xiàng)：如果您需要與外部團(tuán)隊(duì)協(xié)作，但不希望他們直接訪問您的服務(wù)器，請(qǐng)考慮使用分布式服務(wù)，精準(zhǔn)控制數(shù)據(jù)的復(fù)制和訪問范圍，實(shí)現(xiàn)細(xì)粒度可見性管理。

信息泄露

說到信息泄露，人們經(jīng)常會(huì)想到知識(shí)產(chǎn)權(quán)泄露。這是一個(gè)嚴(yán)重的安全風(fēng)險(xiǎn)，但很少是攻擊者的第一步。大多數(shù)攻擊都從信息偵查開始：攻擊者會(huì)悄悄收集有關(guān)服務(wù)器、用戶和配置的詳細(xì)信息，以計(jì)劃更有針對(duì)性的攻擊。

P4提供了多個(gè)關(guān)鍵配置，可以極大限制未經(jīng)驗(yàn)證的用戶所能獲取的信息，限制其可見性，從源頭阻斷攻擊鏈條。

1.潛在風(fēng)險(xiǎn)：

如果保持默認(rèn)設(shè)置，服務(wù)器可能會(huì)暴露以下敏感信息。例如：

• 攻擊者可以獲取您的P4服務(wù)器版本號(hào)，從而進(jìn)行有針對(duì)性的攻擊。
• 可能獲取您組織中的有效用戶名。

還可以根據(jù)登錄反饋，來確認(rèn)帳戶是否存在或有誤。

如果不加以防范，這些看似無害的信息（即服務(wù)器信息、錯(cuò)誤消息、用戶名驗(yàn)證）可能成為權(quán)限提升攻擊的跳板。

2.配置建議：

為減少服務(wù)器遭受偵查和被動(dòng)掃描的風(fēng)險(xiǎn)，建議您實(shí)施以下配置項(xiàng)：

• 隱藏服務(wù)器的敏感信息，防止未經(jīng)授權(quán)的用戶訪問：

– 設(shè)置 dm.info.hide=1，可以防止未經(jīng)驗(yàn)證的用戶訪問服務(wù)器的名稱、許可證狀態(tài)等信息。

– 請(qǐng)注意：此設(shè)置和安全等級(jí)配套使用，強(qiáng)烈建議您將其設(shè)置為4（或更高）。

阻止未經(jīng)驗(yàn)證的用戶訪問用戶列表：

– 設(shè)置 run.users.authorize=1，可以阻止匿名用戶查看系統(tǒng)中已有的用戶列表，減少偽造憑證或用戶名的可能性。

• 當(dāng)嘗試使用無效用戶名登錄時(shí)，隱藏錯(cuò)誤詳細(xì)信息：

– 設(shè)置dm.user.hideinvalid=1，可以防止攻擊者根據(jù)服務(wù)器的響應(yīng)來確認(rèn)某個(gè)用戶名是否存在。

這些設(shè)置雖然不會(huì)完全阻止定向攻擊，但會(huì)讓攻擊變得困難、更不容易成功，從而提高系統(tǒng)的整體安全性。通過整合這些措施，您就為深度防御策略建立了一個(gè)重要防線，最大限度地降低干擾信息，減少對(duì)外的暴露面，并為受信任的用戶提供完整的功能支持。

審計(jì)盲區(qū)

審計(jì)是系統(tǒng)安全中最易被忽視的環(huán)節(jié)之一。如果沒有全面的日志記錄和主動(dòng)警報(bào)，可疑行為往往會(huì)被忽視。許多情況下，企業(yè)只有在造成損失后才意識(shí)到漏洞。這通常源于缺乏可見性——要么因?yàn)殛P(guān)鍵事件未被記錄，要么因?yàn)楝F(xiàn)有日志未被主動(dòng)監(jiān)控和審查。

常見的審計(jì)盲區(qū)包括：

• 未監(jiān)控失敗的登錄嘗試
• 缺少對(duì)P4保護(hù)規(guī)則或超級(jí)用戶組變更的審計(jì)跟蹤
• 對(duì)訪問日志和用戶活動(dòng)的審查不頻繁

1.潛在風(fēng)險(xiǎn)：

若沒有有效的審計(jì)日志監(jiān)控，可能會(huì)面臨以下威脅：

攻擊者可能會(huì)持續(xù)暴力破解帳戶，而無人察覺。

惡意或遭到入侵的管理員可以更改保護(hù)措施或群組成員資格，而不留痕跡。

未經(jīng)授權(quán)的訪問可能會(huì)被忽視，直到文件被修改或泄露。

• 這些漏洞不僅會(huì)延緩?fù){發(fā)現(xiàn)，更會(huì)大幅增加事件響應(yīng)和取證調(diào)查的復(fù)雜度。

2.配置建議：

P4提供了多個(gè)層次的日志記錄功能，有助于彌補(bǔ)這些安全漏洞：

• 使用結(jié)構(gòu)化日志來獲取更詳細(xì)、可解析的信息。

結(jié)構(gòu)化日志非常適合與SIEM工具、控制面板或自定義警報(bào)系統(tǒng)集成。對(duì)于P4 2024.2 之后的版本，可以利用OpenTelemetry協(xié)議將日志快速傳送到相應(yīng)的系統(tǒng)。咨詢龍智團(tuán)隊(duì)，獲取有關(guān)結(jié)構(gòu)化日志的操作指南。

• 定期審查權(quán)限保護(hù)表、超級(jí)用戶組成員身份，以及如果你使用了表單倉(cāng)庫(kù)），也要審查其中的spec變更情況。

在基礎(chǔ)設(shè)施規(guī)劃中自動(dòng)化日志輪換和保留策略。日志文件會(huì)隨著時(shí)間增長(zhǎng)，若不加以管理，可能會(huì)對(duì)性能或磁盤使用造成影響。

通過設(shè)置和完善正確的日志系統(tǒng)，您將獲得必要的可見性，以便快速發(fā)現(xiàn)和應(yīng)對(duì)潛在的問題。安全不僅僅是預(yù)防問題，更是及時(shí)察覺和有效應(yīng)對(duì)。

龍智助您構(gòu)筑Perforce P4安全防線

在數(shù)字化時(shí)代，信任團(tuán)隊(duì)固然重要，但面對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，即便是最可靠的團(tuán)隊(duì)也面臨著不斷增長(zhǎng)的安全威脅。諸如Perforce P4這樣的版本控制系統(tǒng)逐漸成為軟件供應(yīng)鏈攻擊的重點(diǎn)目標(biāo)。

P4服務(wù)器中存儲(chǔ)的大量核心知識(shí)產(chǎn)權(quán)，既是您與客戶的寶貴資產(chǎn)，也是攻擊者虎視眈眈的目標(biāo)。通過合理的系統(tǒng)配置、定期的安全審計(jì)以及持續(xù)的運(yùn)維管理，您可以確保您的P4服務(wù)器成為軟件供應(yīng)鏈中堅(jiān)實(shí)的一環(huán)。

作為Perforce在中國(guó)的官方授權(quán)合作伙伴，龍智始終致力于為企業(yè)提供更加安全、高效、合規(guī)的版本控制與協(xié)作開發(fā)解決方案。我們深知，安全是一項(xiàng)共同的責(zé)任，更是積極配合 Perforce的全球安全戰(zhàn)略，并結(jié)合本地客戶需求，推動(dòng)最佳實(shí)踐落地。