SVN服务器安全扫描工具

我们计划将我们的SVN服务器从LAN迁移到Internet

我们需要说服我们的管理层，我们的设置足够安全

是否有任何SVN服务器安全扫描工具来检查我们的SVN服务器的安全级别

---

谢谢。我们正在使用Windows。

您没有指定打算如何保护SVN服务器

使用+SSH：//

没有工具能够完全验证安全性。您需要使用久经考验的技术进行设置

[…而且几乎可以肯定属于serverfault:

使用Nessus或OpenVAS（Nessus的更免费版本），很容易测试服务器上运行的所有守护进程（如ssh、Apache或SVN）是否存在已知漏洞。加载Nessus或OpenVAS，将目标设置为SVN服务器并启用所有插件。大约需要15分钟，它会给你一份详细的报告

---

在开放internet上使用SVN最安全的方法是SVN+ssh，并使用ssh密钥而不是密码进行身份验证。但是，这需要为每个开发人员设置密钥。将用户名/密码和源代码以明文形式在互联网上传播是一个非常糟糕的主意。至少你必须确保使用SVN+HTTPS和真正的证书，这将花费你每年约30美元。同时禁用http，您不会希望开发人员意外地通过http连接

您可以尝试使用谷歌进行搜索，例如：

allinurl:“所有wcprops”inurl:“yoururlhere”

如果你在最后得到了这样的匹配：

/.svn/所有wcprops

这意味着Apache至少没有配置为阻止人们查看您的存储库。这可能是一个通过apache而不是svn检查安全故障的工具。希望我能帮上忙

很容易在apache配置中修复：

# Disallow browsing of Subversion working copy administrative dirs.
<DirectoryMatch "^/.*/\.svn/">
    Order deny,allow
    Deny from all
</DirectoryMatch>

#禁止浏览Subversion工作副本管理目录。
命令拒绝，允许
全盘否定