Segurança de segredos

Uma abordagem multidimensional de pilha completa para encontrar e proteger segredos expostos e vulneráveis em todos os arquivos de seus repositórios e pipelines CI/CD.
Solicitar uma demonstração
secrets-gitlab

Os desenvolvedores usam segredos para proteger as comunicações entre seus aplicativos e outros serviços em nuvem. Não é seguro armazenar segredos em um arquivo em sistemas de controle de versão (VCS) como o GitHub, pois isso cria possíveis vulnerabilidades que podem ser exploradas. Geralmente, isso acontece quando os desenvolvedores deixam seus segredos no código-fonte. Quando um segredo é confirmado em um repositório, ele é salvo no histórico e qualquer usuário pode acessar essas chaves facilmente. Isso é especialmente arriscado se o conteúdo do repositório tornar-se público, fazendo com que esse recurso possa ser facilmente encontrado e utilizado por agentes de ameaças.

A maioria das ferramentas só verifica alguns segredos em uma única fase do ciclo de vida do aplicativo e pode não ver bem certos tipos de segredos. O Cortex® Cloud pode garantir que nenhum segredo seja exposto acidentalmente, reduzindo a quantidade de falsos positivos e mantendo o desenvolvimento acelerado.

É comum que haja segredos codificados para o desenvolvimento nativo da nuvem.

Para os desenvolvedores, é fácil acessar e usar credenciais codificadas, mas essa não é uma prática recomendada. Isso é perigoso principalmente em organizações de desenvolvimento matricial e em repositórios com base na nuvem. Infelizmente, isso acontece em mais de 41% dos repositórios que contêm segredos.

A exposição ao público amplifica o risco.

Segredos podem ser expostos com frequência em repositórios públicos em seu VCS ou registro. Além disso, qualquer segredo adicionado diretamente ao código-fonte, IaC, arquivos de configuração de CI/CD etc. pode ficar visível em um VCS ou ser exposto acidentalmente em logs de compilação.

Ferramentas isoladas resultar em brechas na cobertura.

Verificadores de segredos independentes geralmente não oferecem cobertura consistente em tempo de compilação e execução. Sem ter uma estratégia CNAPP mais ampla incorporada, as organizações não têm uma visão total do risco.

O Cortex Cloud ajuda os desenvolvedores a evitar que seus segredos sejam expostos na compilação e no tempo de execução.

Quando se integra às ferramentas DevOps e ao código, construção, implantação e tempo de execução, o Cortex Cloud verifica continuamente os segredos expostos em todo o ciclo de vida de desenvolvimento. Com uma eficiente abordagem multidimensional que combina uma biblioteca de políticas baseada em assinatura e um modelo de entropia adaptado, o Cortex Cloud identifica segredos em praticamente qualquer tipo de arquivo, de modelos IaC, modelos pré-configurados e repositórios Git.
  • Diversos métodos de detecção identificam segredos complexos, como strings ou senhas aleatórias.
  • Os fatores de risco dão contexto para os segredos para simplificar a priorização e a correção.
  • Integrado nativamente em fluxos de trabalho e ferramentas de desenvolvedor.
  • Mais de 100 bibliotecas de assinaturas.
    Mais de 100 bibliotecas de assinaturas.
  • Modelo de entropia adaptado.
    Modelo de entropia adaptado.
  • Visão da cadeia de suprimentos.
    Visão da cadeia de suprimentos.
  • Cobertura ampla.
    Cobertura ampla.
  • Pré-confirmação de detecção nos pipelines VCS e CI.
    Pré-confirmação de detecção nos pipelines VCS e CI.
  • Detecção em cargas de trabalho e aplicativos em execução.
    Detecção em cargas de trabalho e aplicativos em execução.
Solução

Uma abordagem multidimensional da segurança de segredos voltada para o desenvolvedor

Detecção precisa

Segredos que usam expressões correntes (tokens de acesso, chaves de API, chaves de criptografia, tokens OAuth, certificados etc.) são as credenciais mais comumente identificadas. O Cortex Cloud usa mais de 100 assinaturas para detectar e alertar sobre a ampla variedade de segredos com expressões conhecidas e previsíveis.

  • Cobertura ampla

    Mais de 100 detectores de segredos específicos de domínio garantem a precisão de alertas na compilação e no tempo de execução.

  • Varredura ampla e profunda

    Procura segredos em todos os arquivos dos seus repositórios e os históricos de versão nas integrações.

Detecção precisa

Modelo de entropia adaptado

Nem todos os segredos são padrões consistentes ou identificáveis. Por exemplo, senhas e nomes de usuário aleatórios não seriam detectados por métodos com base em assinatura porque eles são aleatórios, possivelmente deixando as “chaves do reino” expostas e acessíveis ao público. O Cortex Cloud aumenta a detecção com base em assinatura com um modelo de entropia adaptado.

  • Modelo de entropia adaptado

    Elimine falsos positivos com um modelo de entropia adaptado que usa o contexto de strings para identificar com precisão os tipos de segredos complexos.

  • Visibilidade incomparável

    Adquira visibilidade e controle abrangentes de todo o cenário de segredos usados pelos desenvolvedores de nuvem.

Modelo de entropia adaptado

Feedback do desenvolvedor

Os desenvolvedores podem analisar os riscos de segredos expostos ou vulneráveis de diversas formas:

  • código aberto

    Integrações nativas em fluxos de trabalho de desenvolvimento e segredos detectados facilmente em um arquivo que não está em conformidade.

  • Cadeia de suprimentos

    O Gráfico da Cadeia de suprimentos mostra os nós do arquivo de código-fonte. Uma investigação em detalhes na árvore de dependências ajuda os desenvolvedores a identificar a causa raiz da exposição do segredo.

  • Comentários de solicitações de pull

    Os usuários podem detectar segredos que foram potencialmente expostos como parte das varreduras de solicitação de pull, que podem ser facilmente removidos.

  • Integrações de CI e ganchos de pré-confirmação

    Aproveite o gancho de pré-confirmação para evitar que os segredos sejam enviados a um repositório antes que seja aberta uma solicitação de pull.

Feedback do desenvolvedor

Recursos adicionais de segurança de aplicativos

SEGURANÇA DE INFRAESTRUTURA COMO CÓDIGO

Segurança de IaC automatizada incorporada nos fluxos de trabalho do desenvolvedor

Saiba mais

ANÁLISE DE COMPOSIÇÃO DE SOFTWARE (SCA)

Segurança de código aberto altamente precisa e sensível ao contexto e conformidade de licença

Saiba mais

SEGURANÇA DA CADEIA DE SUPRIMENTOS DE SOFTWARE

Fortaleça seus pipelines de CI/CD, reduza sua superfície de ataque e proteja seu ambiente de desenvolvimento de aplicativos.

Saiba mais

SEGURANÇA DE INFRAESTRUTURA COMO CÓDIGO (IAC)

Identifique e corrija configurações incorretas nas ferramentas Terraform, CloudFormation, ARM, Kubernetes e em outros modelos de IaC

Saiba mais

Receba as últimas notícias, convites para eventos e alertas de ameaças