L'AI-SPM continua a essere disponibile per tutti gli utenti di Prisma® Cloud durante la fase di lancio del prodotto Secure AI by Design    Iniziamo!
Ricerca

Sicurezza dei segreti

Un approccio full-stack multidimensionale per trovare e mettere in sicurezza i segreti esposti e vulnerabili in tutti i file dei tuoi repository e delle pipeline CI/CD.
Richiedi una versione di prova gratuita
secrets-gitlab
secrets-projects

Gli sviluppatori usano i segreti per permettere alle applicazioni di comunicare in modo sicuro con altri servizi cloud. Archiviare i segreti in un file nei sistemi di controllo delle versioni (VCS) come GitHub non è sicuro e crea potenziali vulnerabilità che possono essere sfruttate. Questo si verifica spesso quando gli sviluppatori lasciano dei segreti nel codice sorgente. Quando un segreto è affidato a un repository, viene salvato nella sua cronologia e qualunque utente può accedere facilmente a quelle chiavi. Il rischio aumenta ulteriormente se i contenuti del repository diventano pubblici, rendendo quella risorsa facile da trovare e utilizzare per gli attori di minacce.

La maggior parte degli strumenti esegue solo un’analisi selettiva per individuare i segreti in una fase del ciclo di vita delle applicazioni, e può lasciarsi sfuggire del tutto alcuni tipi di segreti. Prisma® Cloud può garantire che nessun segreto venga esposto accidentalmente, riducendo al minimo i falsi positivi e mantenendo la velocità di sviluppo.

1

I segreti hardcoded sono comuni per lo sviluppo cloud-native.

Per gli sviluppatori, le credenziali hardcoded sono di più facile utilizzo e accesso, ma non sono una best practice. Questa pratica è particolarmente pericolosa per le organizzazioni di sviluppo a matrice e all’interno dei repository basati su cloud, ma purtroppo è diffusissima: più del 41% dei repository contiene segreti.
2

L’esposizione pubblica amplifica i rischi.

Spesso i segreti possono essere esposti in repository pubblici nei tuoi VCS o nel tuo registro. Inoltre, i segreti aggiunti direttamente al codice sorgente, all’IaC, ai file di configurazione CI/CD e così via potrebbero essere visibili in un VCS o essere esposti accidentalmente nei log di compilazione.
3

Gli strumenti isolati creano falle nella sicurezza.

Spesso i dispositivi di analisi dei segreti standalone non forniscono una copertura coerente sia nella fase di compilazione che in quella di runtime. Se gli strumenti non sono integrati in una strategia CNAPP più ampia, le organizzazioni non hanno un quadro completo dei rischi.

Prisma Cloud permette agli sviluppatori di prevenire senza difficoltà i segreti esposti in fase di compilazione e runtime.

Prisma Cloud si integra negli strumenti DevOps e nelle fasi di codifica, compilazione, distribuzione e runtime, eseguendo un'analisi continua dei segreti esposti nell’intero ciclo di sviluppo. Grazie al potente approccio multidimensionale che unisce una raccolta di policy basata su firma a un modello di entropia ottimizzato, Prisma Cloud è in grado di identificare i segreti in quasi tutti i tipi di file, da modelli IaC, golden image e repository git.
  • I metodi di rilevamento multipli identificano segreti complessi, come stringhe casuali o password.
  • I fattori di rischio forniscono contesto ai segreti per semplificare l'assegnazione di priorità e la correzione dei problemi.
  • Integrazione in modo nativo negli strumenti e nei flussi di lavoro di sviluppo.
  • Più di 100 librerie di firme.
    Più di 100 librerie di firme.
  • Modello di entropia ottimizzato.
    Modello di entropia ottimizzato.
  • Visualizzazione della supply chain.
    Visualizzazione della supply chain.
  • Ampia copertura.
    Ampia copertura.
  • Rilevamento prima del commit nei VCS e nelle pipeline CI.
    Rilevamento prima del commit nei VCS e nelle pipeline CI.
  • Rilevamento in carichi di lavoro e applicazioni in esecuzione.
    Rilevamento in carichi di lavoro e applicazioni in esecuzione.
La soluzione Prisma Cloud

Un approccio multidimensionale incentrato sugli sviluppatori nella sicurezza dei segreti

Rilevamento preciso

I segreti che utilizzano espressioni regolari (token di accesso, chiavi API, chiavi di crittografia, token OAuth, certificati e così via) sono quelli identificati più di frequente. Prisma Cloud si avvale di oltre 100 firme per rilevare e segnalare un'ampia gamma di segreti con espressioni note e prevedibili.

  • Ampia copertura

    Più di 100 rilevatori dei segreti specifici del dominio garantiscono avvisi sicuri in fase di compilazione e runtime.

  • Analisi ampia e approfondita

    Esegui un’analisi per rilevare i segreti in tutti i file dei tuoi repository e nella cronologia delle versioni delle tue integrazioni.

Rilevamento preciso

Modello di entropia ottimizzato

Non tutti i segreti hanno modelli coerenti o identificabili. Ad esempio, essendo casuali, nomi utente e password in stringhe casuali non verrebbero rilevati da metodi di analisi basati su firma; questo potrebbe lasciare le chiavi del “regno” esposte e pubblicamente accessibili. Prisma Cloud potenzia il rilevamento basato su firma con un modello di entropia ottimizzato.

  • Modello di entropia ottimizzato

    Elimina i falsi positivi con un modello di entropia ottimizzato che si avvale del contesto delle stringhe per identificare con precisione tipi di segreti complessi.

  • Visibilità impareggiabile

    Ottieni una visibilità e un controllo completi nel vasto panorama di segreti usati dagli sviluppatori cloud.

Modello di entropia ottimizzato

Feedback degli sviluppatori

Gli sviluppatori possono analizzare i rischi associati ai segreti esposti o vulnerabili in diversi modi:

  • Progetti

    Integrazioni native nei flussi di lavoro di sviluppo; propongono senza difficoltà i segreti rilevati all’interno di un file non conforme.

  • Supply chain

    Il grafico Supply Chain Graph mostra i nodi dei file del codice sorgente. Un’indagine dettagliata dell'albero delle dipendenze aiuta gli sviluppatori a identificare la causa principale della diffusione di elementi segreti.

  • Commenti alle richieste pull

    Gli utenti possono individuare segreti che potrebbero essere trapelati eseguendo l'analisi di una richiesta pull; una volta individuati, possono essere rimossi facilmente.

  • Elementi pre-commit e integrazioni CI

    Sfrutta gli elementi pre-commit per impedire che i segreti vengano trasmessi a un repository prima di aprire una richiesta pull.

Feedback degli sviluppatori

Compresa nella piattaforma CNAPP

L'unico modo per garantire una protezione completa delle applicazioni cloud-native consiste nell’integrare la scansione dei segreti a ogni livello e fase del ciclo di sviluppo. Il modulo Segreti di Prisma Cloud può essere attivato con un semplice clic, ed è soltanto una componente della piattaforma per la protezione delle applicazioni cloud-native più completa del settore.

  • Identificazione dei segreti nella supply chain

    Rileva i segreti esposti in repository come GitHub e registri come Docker, Quay, Artifactory e altri.

  • Prevenzione dei segreti esposti in fase di runtime

    Sfrutta la visibilità olistica dal codice al cloud e identifica i segreti esposti nei carichi di lavoro e nelle risorse cloud in esecuzione con le policy di runtime.

Compresa nella piattaforma CNAPP

Moduli di sicurezza del codice

SICUREZZA DELL'INFRASTRUCTURE AS CODE

Sicurezza IaC automatizzata e integrata nei flussi di lavoro di sviluppo

Ulteriori informazioni

ANALISI DELLA COMPOSIZIONE DEL SOFTWARE (SCA)

Sicurezza e conformità delle licenze open source contestualizzate

Ulteriori informazioni

SICUREZZA DELLA SUPPLY CHAIN DEL SOFTWARE

Protezione completa per i componenti e le pipeline software

Ulteriori informazioni

SICUREZZA DEI SEGRETI

Analisi multidimensionale full stack dei segreti di repository e pipeline.

Ulteriori informazioni
Risorse in evidenza

Risorse utili sulla sicurezza del codice

Tutte le risorse
SCHEDA TECNICA

Sicurezza dei segreti

Scarica
WHITE PAPER

Checklist per la sicurezza dei segreti

Scarica
REPORT DEGLI ANALISTI

GigaOm Radar per strumenti di sicurezza per sviluppatori

Scarica
WEBINAR ON-DEMAND

Approfondimento del prodotto: Sicurezza dei segreti

Guarda ora
SCHEDA TECNICA

Sicurezza del codice

Scarica

Storie dei clienti

Scopri come Pokemon, Sabre e ElevenPaths sfruttano la protezione full stack e la sicurezza per l'intero ciclo di vita offerte da Prisma Cloud.

Concetti base di sicurezza del cloud

Scopri le tendenze in ambito DevSecOps e i consigli di sviluppatori, leader di settore e professionisti della sicurezza.

Ultime notizie dal blog

Leggi l'articolo sulla sicurezza dei container con i cluster Kubernetes per iniziare e poi passa agli altri.

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce