Безопасность является одним из ключевых аспектов Deckhouse Code. Инструмент предоставляет встроенные механизмы защиты исходного кода, управления доступом и аудита изменений.

Deckhouse Code реализует многоуровневую модель контроля доступа, обеспечивающую защиту как отдельных репозиториев, так и всей инфраструктуры в целом.

Возможности:

  • Ролевое управление (RBAC) — поддерживаются предустановленные роли: гость, наблюдатель, разработчик, мейнтейнер, владелец.
  • Защищённые ветки (protected branches) — запрет на прямые изменения, разрешены только через merge-запросы.
  • Защищённые теги (protected tags) — контроль над созданием и редактированием тегов.
  • Аутентификация через внешние провайдеры — поддержка SAML, LDAP и OIDC.
  • Групповые политики доступа — централизованное управление безопасностью для всех проектов внутри группы.

Аудит и логирование действий

Deckhouse Code регистрирует действия пользователей и администраторов для анализа и отслеживания событий безопасности.

Фиксируются:

  • Изменения в настройках проекта или группы.
  • Создание, удаление и изменение веток и тегов.
  • Управление правами пользователей.
  • Добавление и удаление SSH-ключей.
  • Успешные и неуспешные попытки входа.

Журналы доступны через веб-интерфейс или могут быть экспортированы во внешние системы мониторинга.

Поддержка двухфакторной аутентификации (2FA)

Для повышения уровня защиты учётных записей можно включить двухфакторную аутентификацию.

Поддерживаются:

  • Приложения-аутентификаторы (например, Google Authenticator, Authy).
  • Аппаратные ключи безопасности (U2F, WebAuthn).

Администратор может обязать всех пользователей использовать 2FA.

Контроль доступа по SSH и HTTPS

Deckhouse Code позволяет подключаться к репозиториям с использованием безопасных методов:

  • SSH-ключи — надёжный метод аутентификации без использования пароля.
  • HTTPS + Personal Access Tokens — альтернатива с применением токенов доступа.

Дополнительные параметры конфигурации:

  • Ограничение доступных протоколов (только HTTPS или только SSH).
  • Отключение входа по паролю — доступ возможен только по ключу или токену.