Ricerca

Sicurezza dei segreti

Un approccio full-stack multidimensionale per trovare e mettere in sicurezza i segreti esposti e vulnerabili in tutti i file dei tuoi repository e delle pipeline CI/CD.
Richiedi una demo
segreti-gitlab

Gli sviluppatori usano i segreti per permettere alle applicazioni di comunicare in modo sicuro con altri servizi cloud. Archiviare i segreti in un file nei sistemi di controllo delle versioni (VCS) come GitHub non è sicuro e crea potenziali vulnerabilità che possono essere sfruttate. Questo si verifica spesso quando gli sviluppatori lasciano dei segreti nel codice sorgente. Quando un segreto è affidato a un repository, viene salvato nella sua cronologia e qualunque utente può accedere facilmente a quelle chiavi. Il rischio aumenta ulteriormente se i contenuti del repository diventano pubblici, rendendo quella risorsa facile da trovare e utilizzare per gli attori di minacce.

La maggior parte degli strumenti esegue solo un'analisi selettiva per individuare i segreti in una fase del ciclo di vita delle applicazioni, e può lasciarsi sfuggire del tutto alcuni tipi di segreti. Cortex® Cloud può garantire che nessun segreto venga esposto accidentalmente, riducendo al minimo i falsi positivi e mantenendo la velocità di sviluppo.

I segreti hardcoded sono comuni per lo sviluppo cloud-native.

Per gli sviluppatori, le credenziali hardcoded sono di più facile utilizzo e accesso, ma non sono una best practice. Questa pratica è particolarmente pericolosa per le organizzazioni di sviluppo a matrice e all'interno dei repository basati su cloud, ma purtroppo è diffusissima: più del 41% dei repository contiene segreti.

L'esposizione pubblica amplifica i rischi.

Spesso i segreti possono essere esposti in repository pubblici nei tuoi VCS o nel tuo registro. Inoltre, i segreti aggiunti direttamente al codice sorgente, all'IaC, ai file di configurazione CI/CD e così via potrebbero essere visibili in un VCS o essere esposti accidentalmente nei log di compilazione.

Gli strumenti isolati creano falle nella sicurezza.

Spesso i dispositivi di analisi dei segreti standalone non forniscono una copertura coerente sia nella fase di compilazione che in quella di runtime. Se gli strumenti non sono integrati in una strategia CNAPP più ampia, le organizzazioni non hanno un quadro completo dei rischi.

Cortex Cloud permette agli sviluppatori di prevenire senza difficoltà i segreti esposti in fase di compilazione e runtime.

Cortex Cloud si integra negli strumenti DevOps e nelle fasi di codifica, compilazione, distribuzione e runtime, eseguendo un'analisi continua dei segreti esposti nell'intero ciclo di sviluppo. Grazie al potente approccio multidimensionale che unisce una raccolta di policy basate su firma a un modello di entropia ottimizzato, Cortex Cloud è in grado di identificare i segreti in quasi tutti i tipi di file, da modelli IaC, golden image e repository git.
  • I metodi di rilevamento multipli identificano segreti complessi, come stringhe casuali o password.
  • I fattori di rischio forniscono contesto ai segreti per semplificare l'assegnazione di priorità e la correzione dei problemi.
  • Integrazione in modo nativo negli strumenti e nei flussi di lavoro di sviluppo.
  • Più di 100 librerie di firme.
    Più di 100 librerie di firme.
  • Modello di entropia ottimizzato.
    Modello di entropia ottimizzato.
  • Visualizzazione della supply chain.
    Visualizzazione della supply chain.
  • Ampia copertura.
    Ampia copertura.
  • Rilevamento prima del commit nei VCS e nelle pipeline CI.
    Rilevamento prima del commit nei VCS e nelle pipeline CI.
  • Rilevamento in carichi di lavoro e applicazioni in esecuzione.
    Rilevamento in carichi di lavoro e applicazioni in esecuzione.
Soluzione

Un approccio multidimensionale incentrato sugli sviluppatori nella sicurezza dei segreti

Rilevamento preciso

I segreti che utilizzano espressioni regolari (token di accesso, chiavi API, chiavi di crittografia, token OAuth, certificati e così via) sono quelli identificati più di frequente. Cortex Cloud si avvale di oltre 100 firme per rilevare e segnalare un'ampia gamma di segreti con espressioni note e prevedibili.

  • Ampia copertura

    Più di 100 rilevatori dei segreti specifici del dominio garantiscono avvisi sicuri in fase di compilazione e runtime.

  • Analisi ampia e approfondita

    Esegui un'analisi per rilevare i segreti in tutti i file dei tuoi repository e nella cronologia delle versioni delle tue integrazioni.

Rilevamento preciso

Modello di entropia ottimizzato

Non tutti i segreti hanno modelli coerenti o identificabili. Ad esempio, essendo casuali, nomi utente e password in stringhe casuali non verrebbero rilevati da metodi di analisi basati su firma; questo potrebbe lasciare le chiavi del “regno” esposte e pubblicamente accessibili. Cortex Cloud potenzia il rilevamento basato su firma con un modello di entropia ottimizzato.

  • Modello di entropia ottimizzato

    Elimina i falsi positivi con un modello di entropia ottimizzato che si avvale del contesto delle stringhe per identificare con precisione tipi di segreti complessi.

  • Visibilità impareggiabile

    Ottieni una visibilità e un controllo completi nel vasto panorama di segreti usati dagli sviluppatori cloud.

Modello di entropia ottimizzato

Feedback degli sviluppatori

Gli sviluppatori possono analizzare i rischi associati ai segreti esposti o vulnerabili in diversi modi:

  • Progetti

    Integrazioni native nei flussi di lavoro di sviluppo; propongono senza difficoltà i segreti rilevati all'interno di un file non conforme.

  • Supply chain

    Il grafico Supply Chain Graph mostra i nodi dei file del codice sorgente. Un'indagine dettagliata dell'albero delle dipendenze aiuta gli sviluppatori a identificare la causa principale della diffusione di elementi segreti.

  • Commenti alle richieste pull

    Gli utenti possono individuare segreti che potrebbero essere trapelati eseguendo l'analisi di una richiesta pull; una volta individuati, possono essere rimossi facilmente.

  • Elementi pre-commit e integrazioni CI

    Sfrutta gli elementi pre-commit per impedire che i segreti vengano trasmessi a un repository prima di aprire una richiesta pull.

Feedback degli sviluppatori

Ulteriori funzionalità di sicurezza delle applicazioni

SICUREZZA DELL'INFRASTRUCTURE AS CODE

Sicurezza IaC automatizzata e integrata nei flussi di lavoro di sviluppo

Ulteriori informazioni

ANALISI DELLA COMPOSIZIONE DEL SOFTWARE (SCA)

Sicurezza open source e conformità delle licenze precise e contestualizzate

Ulteriori informazioni

SICUREZZA DELLA SUPPLY CHAIN DEL SOFTWARE

Rafforza le pipeline CI/CD, riduci la superficie di attacco e proteggi l'ambiente di sviluppo delle applicazioni.

Ulteriori informazioni

SICUREZZA DELL'INFRASTRUCTURE AS CODE (IaC)

Identifica e correggi gli errori di configurazione in Terraform, CloudFormation, ARM, Kubernetes e altri modelli IaC

Ulteriori informazioni

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce