Erkennung von Geheimnissen: Was Entwickler wissen müssen

Inhalt

Geheime Erkennung

Jeder Entwickler macht Fehler. Einer der häufigsten - und potenziell gefährlich für die Sicherheit Ihrer Produktionsanwendungen - ist die versehentliche Weitergabe Ihrer Geheimnisse. Dazu gehören sensible Anmeldedaten wie API-Schlüssel, Kennwörter, Verschlüsselungsschlüssel, private Schlüssel usw., die es Angreifern ermöglichen würden, auf vertrauliche Informationen zuzugreifen oder diese zu extrahieren.

Die Erkennung von Leckagen wiederum ist ein automatisierter Prozess, der diese Leckagen identifiziert, Sie über die Art und den Schweregrad informiert und Ihnen manchmal Ratschläge für die beste Lösung gibt.

Auch bekannt als

Erkennung von Quellcode-Geheimnissen

Berechtigungsprüfung

77% der Entwickler

haben versehentlich sensible Informationen in ihren Code-Repositories preisgegeben.

Quelle

Stapelüberlauf

3+ Millionen Geheimnisse

wurden allein im Jahr 2022 in öffentlichen Repositories veröffentlicht.

Quelle

PurpleSec

85 % der Verstöße

ein menschliches Element beinhalten, einschließlich der ungewollten Preisgabe von Geheimnissen.

Quelle

Varonis

Ein Beispiel für die Erkennung von Geheimnissen und wie sie funktioniert

Stellen Sie sich folgendes (sehr häufiges) Szenario vor: Um Ihrer nächsten Anwendung eine neue Funktion hinzuzufügen, nutzen Sie eine API eines Drittanbieters und authentifizieren Ihre Anfragen mit einem API-Schlüssel. Anstatt diesen API-Schlüssel in einer .env Datei für die lokale Entwicklung zu verwenden, betten Sie sie direkt als Variable in Ihre Anwendung ein.

In dem Moment, in dem Sie den API-Schlüssel an GitHub übertragen und veröffentlichen? Ups - Sie haben Ihr Geheimnis verraten. Zumindest können Sie mit einem Tool zur Erkennung von Geheimnissen Ihren Schlüssel schnell austauschen, einige sofortige Schritte unternehmen, um Ihren Git-Verlauf zu bereinigen, und zu einer anderen Speichermethode migrieren.

Wie hilft die Erkennung von Geheimnissen den Entwicklern?

Vorteile

Wenn ein Tool zur Erkennung von Geheimnissen Ihren Quellcode durchsucht, idealerweise bei jeder Übertragung, hilft es Ihnen, Anmeldeinformationen schnell zu entfernen oder undichte Stellen zu finden, bevor Sie sie veröffentlichen.

Sie arbeiten in einer Branche mit hohen Anforderungen an den Datenschutz? Die Erkennung von Quellcodegeheimnissen verhindert kleine Fehler, die große Probleme verursachen.

Anwendungsfälle

Steigern Sie die Nutzung von Infrastructure as Code (IaC) wie Terraform oder CloudFormation, ohne befürchten zu müssen, dass Angreifer versehentlich vollen Zugriff auf Ihre Cloud-Anbieter erhalten.

Reduzieren Sie die Sorgen und die kognitive Belastung, die mit der manuellen Überprüfung neuer Commits und Pull-Requests auf mögliche Geheimnisse verbunden sind.

Sichern Sie Ihre App im Handumdrehen

Aikido gibt Ihnen einen sofortigen Überblick über all Ihre Code- und Cloud-Sicherheitsprobleme, so dass Sie risikoreiche Schwachstellen schnell erkennen und beheben können.

Start Frei

Implementierung der Erkennung von Quellcode-Geheimnissen: Ein Überblick

Wie bei jedem Werkzeug für Entwickler gibt es mehrere Möglichkeiten, die Erkennung von Geheimnissen in Ihrem Quellcode und Ihren Konfigurationen zu implementieren.

Wenn Sie zum Beispiel eine Lösung mit einem Open-Source-Tool wie Gitleaks erstellen möchten:

Gitleaks

Installieren Sie mit Homebrew, Docker, Go oder direkt mit einer Binärversion.

Führen Sie gitleaks lokal auf Ihrem Repository aus, um vorhandene Geheimnisse zu erkennen.

Konfigurieren Sie eine Pre-Commit-Aktion, um Geheimnisse bei jedem zukünftigen Git-Commit zu erkennen.

Besuchen Sie gitleaks.io, um sich für einen kostenlosen Lizenzschlüssel zu registrieren.

Konfigurieren Sie eine GitHub-Aktion für Ihr Repository mit einer Gitleaks-Lizenz, einem GitHub-Token und dem Rest Ihrer CI/CD-Jobs und stellen Sie sie bereit.

Fassen Sie Ihre Daten zur Erkennung von Geheimnissen an einem übersichtlichen Ort zusammen, um schnell Abhilfe zu schaffen.

Oder mit Aikido

Aikido

Verbinden Sie Ihr GitHub-, GitLab-, Bitbucket- oder Azure DevOps-Konto.

Wählen Sie, welche Repos/Clouds/Container gescannt werden sollen.

Sie erhalten in wenigen Minuten priorisierte Ergebnisse und Ratschläge zur Behebung.

Entdecken Sie kostenlos Geheimnisse in Ihrem Quellcode

Automatisieren Sie Ihre Scans

Egal, ob Sie ein Open-Source-Tool wie Gitleaks oder eine umfassende Plattform für Anwendungssicherheit wie Aikido verwenden, Sie sollten nicht jeden Commit in jedem Repository überprüfen müssen. Sparen Sie sich Zeit und eine Menge kognitiver Arbeit mit so vielen Automatisierungen wie möglich.

Drehen Sie Ihre Geheimnisse

Auch wenn Sie in letzter Zeit keine Geheimnisse preisgegeben haben, sollten Sie Ihre API-Schlüssel, Kennwörter und andere Anmeldeinformationen regelmäßig austauschen, um das Risiko zu minimieren. Wenn Ihr Anbieter dies zulässt, legen Sie alle 30, 60 oder 90 Tage ein Datum fest, an dem Ihre aktuellen Schlüssel ablaufen.

Entdecken Sie kostenlos Geheimnisse in Ihrem Quellcode

Verbinden Sie Ihre Git-Plattform mit Aikido und beginnen Sie mit der Erkennung von Geheimnissen mit sofortigem Triaging, intelligenter Priorisierung und punktgenauem Kontext für schnelle Abhilfe.

Scannen Sie Ihre Repos und Container kostenlos

Erste Ergebnisse in 60 Sekunden bei schreibgeschütztem Zugriff.

SOC2 Typ 2 und

ISO27001:2022 zertifiziert