O AI-SPM está disponível para todos os usuários do Prisma® Cloud, à medida que continuamos o lançamento do produto de proteção da IA por design    Vamos lá!

Segurança de segredos

Uma abordagem multidimensional de pilha completa para encontrar e proteger segredos expostos e vulneráveis em todos os arquivos de seus repositórios e pipelines CI/CD.
Solicite uma avaliação gratuita
secrets-gitlab
secrets-projects

Gli sviluppatori usano i segreti per permettere alle applicazioni di comunicare in modo sicuro con altri servizi cloud. Archiviare i segreti in un file nei sistemi di controllo delle versioni (VCS) come GitHub non è sicuro e crea potenziali vulnerabilità che possono essere sfruttate. Questo si verifica spesso quando gli sviluppatori lasciano dei segreti nel codice sorgente. Quando un segreto è affidato a un repository, viene salvato nella sua cronologia e qualunque utente può accedere facilmente a quelle chiavi. Il rischio aumenta ulteriormente se i contenuti del repository diventano pubblici, rendendo quella risorsa facile da trovare e utilizzare per gli attori di minacce.

La maggior parte degli strumenti esegue solo un’analisi selettiva per individuare i segreti in una fase del ciclo di vita delle applicazioni, e può lasciarsi sfuggire del tutto alcuni tipi di segreti. Prisma® Cloud può garantire che nessun segreto venga esposto accidentalmente, riducendo al minimo i falsi positivi e mantenendo la velocità di sviluppo.

1

I segreti hardcoded sono comuni per lo sviluppo cloud-native.

hardcoded sono di più facile utilizzo e accesso, ma non sono una best practice. Questa pratica è particolarmente pericolosa per le organizzazioni di sviluppo a matrice e all’interno dei repository basati su cloud, ma purtroppo è diffusissima: più del 41% dei repository contiene segreti.
2

L’esposizione pubblica amplifica i rischi.

Spesso i segreti possono essere esposti in repository pubblici nei tuoi VCS o nel tuo registro. Inoltre, i segreti aggiunti direttamente al codice sorgente, all’IaC, ai file di configurazione CI/CD e così via potrebbero essere visibili in un VCS o essere esposti accidentalmente nei log di compilazione.
3

Gli strumenti isolati creano falle nella sicurezza.

Spesso i dispositivi di analisi dei segreti standalone non forniscono una copertura coerente sia nella fase di compilazione che in quella di runtime. Se gli strumenti non sono integrati in una strategia CNAPP più ampia, le organizzazioni non hanno un quadro completo dei rischi.

O Prisma Cloud ajuda os desenvolvedores a evitar que seus segredos sejam expostos na compilação e no tempo de execução.

Quando se integra às ferramentas DevOps e ao código, construção, implantação e tempo de execução, o Prisma Cloud verifica continuamente os segredos expostos em todo o ciclo de vida de desenvolvimento. Com uma eficiente abordagem multidimensional que combina uma biblioteca de políticas baseada em assinatura e um modelo de entropia adaptado, o Prisma Cloud identifica segredos em praticamente qualquer tipo de arquivo, de modelos IaC, modelos pré-configurados e repositórios Git.
  • Diversos métodos de detecção identificam segredos complexos, como strings ou senhas aleatórias.
  • Os fatores de risco dão contexto para os segredos para simplificar a priorização e a correção.
  • Integrado nativamente em fluxos de trabalho e ferramentas de desenvolvedor.
  • Mais de 100 bibliotecas de assinaturas.
    Mais de 100 bibliotecas de assinaturas.
  • Modelo de entropia adaptado.
    Modelo de entropia adaptado.
  • Visão da cadeia de suprimentos.
    Visão da cadeia de suprimentos.
  • Cobertura ampla.
    Cobertura ampla.
  • Pré-confirmação de detecção nos pipelines VCS e CI.
    Pré-confirmação de detecção nos pipelines VCS e CI.
  • Detecção em cargas de trabalho e aplicativos em execução.
    Detecção em cargas de trabalho e aplicativos em execução.
A solução do Prisma Cloud

Uma abordagem multidimensional da segurança de segredos voltada para o desenvolvedor.

Detecção precisa

Segredos que usam expressões correntes (tokens de acesso, chaves de API, chaves de criptografia, tokens OAuth, certificados etc.) são as credenciais mais comumente identificadas. O Prisma Cloud usa mais de 100 assinaturas para detectar e alertar sobre a ampla variedade de segredos com expressões conhecidas e previsíveis.

  • Cobertura ampla

    Mais de 100 detectores de segredos específicos de domínio garantem a precisão de alertas na compilação e no tempo de execução.

  • Varredura ampla e profunda

    Procura segredos em todos os arquivos dos seus repositórios e os históricos de versão nas integrações.

Detecção precisa

Modelo de entropia adaptado

Nem todos os segredos são padrões consistentes ou identificáveis. Por exemplo, senhas e nomes de usuário aleatórios não seriam detectados por métodos com base em assinatura porque eles são aleatórios, possivelmente deixando as “chaves do reino” expostas e acessíveis ao público. O Prisma Cloud aumenta a detecção com base em assinatura com um modelo de entropia adaptado.

  • Modelo de entropia adaptado

    Elimine falsos positivos com um modelo de entropia adaptado que usa o contexto de strings para identificar com precisão os tipos de segredos complexos.

  • Visibilidade incomparável

    Adquira visibilidade e controle abrangentes de todo o cenário de segredos usados pelos desenvolvedores de nuvem.

Modelo de entropia adaptado

Feedback do desenvolvedor

Os desenvolvedores podem analisar os riscos de segredos expostos ou vulneráveis de diversas formas:

  • código aberto

    Integrações nativas em fluxos de trabalho de desenvolvimento e segredos detectados facilmente em um arquivo que não está em conformidade.

  • Cadeia de suprimentos

    O Gráfico da Cadeia de suprimentos mostra os nós do arquivo de código-fonte. Uma investigação em detalhes na árvore de dependências ajuda os desenvolvedores a identificar a causa raiz da exposição do segredo.

  • Comentários de solicitações de pull

    Os usuários podem detectar segredos que foram potencialmente expostos como parte das varreduras de solicitação de pull, que podem ser facilmente removidos.

  • Integrações de CI e ganchos de pré-confirmação

    Aproveite o gancho de pré-confirmação para evitar que os segredos sejam enviados a um repositório antes que seja aberta uma solicitação de pull.

Feedback do desenvolvedor

Parte do CNAPP

A única forma de garantir cobertura total da proteção de aplicativos nativos da nuvem é integrar a verificação de segredos em cada camada e etapa do ciclo de vida de desenvolvimento. O módulo Prisma Cloud Secrets pode ser ativado com apenas um clique e ele é só um dos componentes da mais abrangente plataforma de proteção de aplicativos nativa da nuvem do setor.

  • Identifique segredos em toda a cadeia de suprimentos

    Verifique se há segredos expostos em repositórios como o GitHub e registros como o Docker, Quay, Artifactory entre outros.

  • Evite a exposição de segredos no tempo de execução

    Use a visibilidade holística do código para a nuvem e identifique os segredos expostos na execução de cargas de trabalho e recursos de nuvem por meio de políticas de tempo de execução.

Parte do CNAPP

Módulos de código de segurança

SEGURANÇA DE INFRAESTRUTURA COMO CÓDIGO

Segurança de IaC automatizada incorporada nos fluxos de trabalho do desenvolvedor

Saiba mais

ANÁLISE DE COMPOSIÇÃO DE SOFTWARE (SCA)

Segurança de código aberto sensível ao contexto e conformidade de licença

Saiba mais

SEGURANÇA DA CADEIA DE SUPRIMENTOS DE SOFTWARE

Proteção de ponta a ponta para componentes de software e pipelines

Saiba mais

SEGURANÇA DE SEGREDOS

Varredura de segredos multidimensional em todos os repositórios e pipelines.

Saiba mais
Recursos em destaque

Documentos úteis de segurança de código

Ver todos os recursos
FOLHA DE DADOS

Segurança de segredos

Download
ARTIGO TÉCNICO

Lista de verificação de proteção de segredos

Download
RELATÓRIO DE ANALISTAS

GigaOm Radar para ferramentas de segurança do desenvolvedor

Download
WEBINAR SOB DEMANDA

Análise detalhada do produto: Segurança de segredos

Assista agora
FOLHA DE DADOS

Segurança de código

Download

Histórias dos clientes

Saiba como a Pokémon, Sabre e ElevenPaths aproveitam a segurança completa do ciclo de vida e a proteção para todo o conjunto de produtos oferecida pelo Prisma Cloud.

Noções básicas de segurança na nuvem

Saiba mais sobre as tendências de DevSecOp e obtenha dicas práticas de desenvolvedores, líderes do setor e profissionais de segurança.

As últimas novidades do nosso blog

Comece com um artigo focado na segurança de contêineres com reconhecimento de cluster do Kubernetes e, em seguida, mergulhe no resto.

Receba as últimas notícias, convites para eventos e alertas de ameaças