Git og Sikker Versjonskontroll

Hva er Git og hvorfor er det viktig?

Git er et distribuert versjonskontrollsystem som lar deg spore endringer i kildekoden over tid. Det gir mulighet for samarbeid mellom utviklere, og ved å bruke Git får du en fullstendig historikk over alle endringer. Dette er essensielt i DevSecOps fordi:

• Sporbarhet: Du kan se nøyaktig hvilke endringer som er gjort, av hvem og hvorfor.
• Automatisering: Git fungerer sømløst med CI/CD-verktøy som automatisk tester og distribuerer koden – og dermed fanger opp sikkerhetsbrudd tidlig.
• Review og samarbeid: Pull requests og code reviews hjelper teamet med å oppdage feil og sårbarheter før koden merges til hovedgrenen.

Ved å bruke Git i DevSecOps sikrer du at alle endringer kan kontrolleres, testes og revideres – noe som reduserer risikoen for sikkerhetsfeil i produksjonen.

Installer Git på Ubuntu

For å komme i gang med Git på en Ubuntu-maskin, følg denne steg-for-steg-guiden:

1. Oppdater pakkelisten:

   sudo apt-get update

2. Installer Git:

   sudo apt-get install git

3. Verifiser installasjonen:

   git --version

4. Konfigurer Git med ditt navn og e-post:

   git config --global user.name "Ditt Navn"
   git config --global user.email "deg@firma.no"

Disse innstillingene vil bli brukt i alle dine commits, slik at du kan spore hvem som har gjort hvilke endringer.

Branching og Pull Requests

I en Git-arbeidsflyt er det vanlig å ha en main-branch som inneholder den stabile, produksjonsklare koden. For nye funksjoner eller bugfikser opprettes det feature branches som senere merges tilbake til main via en pull request.

Pull requests lar teamet gjennomføre code reviews og kjøre automatiske tester før koden tas i bruk. Dette er et sentralt sikkerhetstiltak i DevSecOps, fordi det gir muligheten til å fange opp potensielle sårbarheter og feil før endringene deployeres.

Secrets-scanning med Gitleaks

Det er kritisk å unngå at sensitive data som API-nøkler og passord havner i koden. Gitleaks er et verktøy som automatisk skanner et Git-repository for å finne slike hemmeligheter.

Et eksempel på hvordan du kan kjøre Gitleaks:

cd /path/to/my-repo
gitleaks detect --report=gitleaks_report.json

I en CI/CD-pipeline kan du integrere Gitleaks for å blokkere push dersom sårbare data blir oppdaget.

Praktisk lab: Git-arbeidsflyt

Her er et forslag til en praktisk oppgave:

1. Opprett et nytt repository på GitHub eller GitLab.
2. Klone repoet til din lokale maskin med:

   git clone <repo-URL>

3. Opprett en ny feature branch:

   git checkout -b ny-funksjon

4. Gjør en liten endring i en fil, commit endringen og push branch:

   git add .
   git commit -m "La til ny funksjon"
   git push -u origin ny-funksjon

5. Opprett en pull request og be en medelev om å gjennomgå koden.

Denne øvelsen hjelper deg å forstå hvordan en sikker Git-arbeidsflyt bidrar til kvalitetssikring og samarbeid i utviklingsprosessen.

Lenker og kilder

• Git offisiell dokumentasjon
• Gitleaks på GitHub
• GitHub Actions
• Pro Git-boken (gratis)

Git i den større DevSecOps-sammenhengen

Git er ikke bare et verktøy for versjonskontroll – det er grunnsteinen i en automatisert, sikker utviklingsprosess. Ved å integrere Git med CI/CD-pipelines, automatiserte tester, secrets-scanning og code reviews, sørger du for at all kode som deployeres er grundig gjennomgått og sikret. Dette gjør det mulig å levere stabil og sikker programvare som en del av den helhetlige DevSecOps-strategien.