.avif)
Überprüfung
"Aikido macht Ihre Sicherheit zu einem Ihrer Alleinstellungsmerkmale dank ihrer integrierten automatisierten Berichtslösung, die bei der ISO- und SOC2-Zertifizierung hilft.
Fabrice G
Geschäftsführerin bei Kadonation
.avif)
Erkennung von Secrets
Durchgesickerte Secrets abfangen, bevor es Hacker tun
Aikido scannt Ihren Code nach exponierten API-Schlüsseln, Anmeldedaten und Token, bevor diese in die Produktion gelangen.
Deckt die wichtigsten secrets auf- Wartungsfreie CI/CD-Integration
- Ignoriert sichere oder inaktive secrets
.avif)
"Mit Aikido können wir ein Problem in nur 30 Sekunden beheben - ein Mausklick, die PR zusammenführen, und das war's."
"Die automatische Korrekturfunktion von Aikido ist eine enorme Zeitersparnis für unsere Teams. Sie durchbricht den Lärm, so dass sich unsere Entwickler auf die wirklich wichtigen Dinge konzentrieren können."
"Mit Aikido ist Sicherheit jetzt einfach ein Teil unserer Arbeitsweise. Es ist schnell, integriert und tatsächlich hilfreich für Entwickler."
Ausgewählt von mehr als 25.000 Organisationen weltweit
Die Bedeutung der Erkennung von Secrets
Warum das Scannen von Secrets wichtig ist
Einer der häufigsten Fehler, den Entwickler machen, ist das versehentliche Preisgeben von secrets. Dazu gehören vertrauliche Anmeldeinformationen wie API-Schlüssel, Kennwörter, Verschlüsselungsschlüssel, private Schlüssel und vieles mehr, die es Angreifern ermöglichen könnten, auf vertrauliche Daten zuzugreifen oder sie zu stehlen.
Stört Sie nicht mit als sicher geltenden secrets
Erkennt secrets , von denen bekannt ist, dass sie sicher sind, und schaltet sie automatisch frei (z. B. veröffentlichbare Schlüssel von Stripe, API-Schlüssel von Google Maps, die im Front-End verwendet werden), damit sie keine Alarme auslösen.
Filtert irrelevante Secrets heraus
Aikido ignoriert secrets , die als abgelaufen oder widerrufen verifiziert wurden oder als Variablen erscheinen. Aikido überprüft sicher die Gültigkeit bekannter Geheimnistypen, indem es eine Anfrage an einen API-Endpunkt sendet, der eine Autorisierung erfordert und keine sensiblen Daten erzeugt.
Erweiterte Funktionen
Secrets Scannen Funktionen
Secrets stoppen, bevor sie sich verbreiten
Aktive Secrets erkennen
Vollständige Abdeckung auf einer Plattform
Ersetzen Sie Ihr verstreutes Toolset durch eine Plattform, die alles kann und Ihnen zeigt, worauf es ankommt.
FAQ
Mehr zu entdecken
Was ist eine geheime Erkennung und warum sollte ich mir Sorgen über durchgesickerte API-Schlüssel oder Anmeldedaten in meinem Code machen?
Die Erkennung von Geheimnissen durchsucht Ihren Code nach offengelegten API-Schlüsseln, Kennwörtern, Token und Anmeldedaten. Durchgesickerte secrets können Angreifern direkten Zugang zu Ihren Systemen verschaffen, was zu Datenverletzungen oder kostspieligem Cloud-Missbrauch führen kann. Selbst ein einzelner AWS-Schlüssel in einem Repo kann ausgenutzt werden. Secret Scanning hilft, diese Probleme zu erkennen, bevor sie veröffentlicht oder zusammengeführt werden, und schützt Ihre Infrastruktur vor unbefugtem Zugriff.
Wie funktioniert das Scannen von secrets in Aikido, und welche Arten von secrets kann es abfangen (API-Schlüssel, Token, Passwörter)?
Aikido scannt Ihren Code und Ihre Konfigurationsdateien nach bekannten geheimen Mustern und hochentropischen Zeichenfolgen. Es erkennt API-Schlüssel, Token, private Schlüssel, DB-Credits und mehr. Mithilfe von Musterabgleich, Entropieanalyse und Validierungslogik identifiziert es echte secrets und minimiert gleichzeitig Fehlalarme. Es kennzeichnet alles, was sensibel genug ist, um gefährlich zu sein, wenn es offengelegt wird.
Scannt Aikido meinen gesamten Git-Verlauf nach secrets oder nur die letzten Code-Commits?
Standardmäßig scannt Aikido den aktuellen Code, aber es kann auch die gesamte Git-Historie scannen, um secrets in alten Commits aufzuspüren. Das Scannen der Historie ist optional und konfigurierbar - ideal zum Aufspüren von secrets , die hinzugefügt und entfernt wurden, aber in der Repo-Historie noch zugänglich sind.
Wie kann ich das geheime Scannen von Aikido in meinen Arbeitsablauf integrieren (CI-Pipeline oder Pre-Commit-Hooks), um Lecks frühzeitig zu erkennen?
Sie können Aikido in CI-Pipelines integrieren und Builds oder PRs mit erkannten secrets blockieren. Es unterstützt auch IDE-Erweiterungen und Pre-Commit-Hooks für Echtzeit-Feedback während der Entwicklung. Dadurch wird sichergestellt, dass die Erkennung von Geheimnissen automatisch erfolgt - bevor secrets in die Produktionszweige gelangen.
Erzeugt Aikido bei der Erkennung von Geheimnissen eine Menge falsch positiver Ergebnisse (z. B. die Verwechslung zufälliger IDs mit secrets)?
Aikido ist optimiert, um Fehlalarme zu reduzieren. Es vermeidet die Kennzeichnung bekannter öffentlicher Schlüssel (z. B. über Stripe veröffentlichte Schlüssel) und filtert Testwerte oder Zufallsdaten heraus. Wenn möglich, überprüft es secrets auf ihre Gültigkeit, bevor es Warnungen auslöst, sodass die Ergebnisse, die Sie erhalten, relevant und umsetzbar sind.
Kann ich den geheimen Scanner von Aikido so konfigurieren, dass er bestimmte Muster oder bekannte Testanmeldeinformationen ignoriert?
Ja. Sie können Ignorierregeln, Muster oder Anmerkungen hinzufügen, um Aikido daran zu hindern, bekannte Testwerte zu markieren. Sie können die Ergebnisse im Dashboard auch als "nicht behebbar" oder sicher markieren. Diese Einstellung hilft, die Ermüdung durch Alarme zu verringern, und gibt Ihnen die Kontrolle darüber, was markiert wird.
Was macht Aikido, wenn es ein durchgesickertes Geheimnis entdeckt - warnt es mich, blockiert es die Übertragung, hilft es mir, sie zu widerrufen?
Aikido warnt Sie sofort und kann den Commit oder Build (falls in CI integriert) blockieren. Es zeigt die Datei, die Zeile und den Schlüsseltyp an und empfiehlt, das Geheimnis zu widerrufen. Aikido widerruft Schlüssel zwar nicht direkt, hebt aber aktive Anmeldeinformationen hervor und leitet Sie an, was als nächstes zu tun ist.
Wie ist Aikidos geheimes Scannen im Vergleich zu Tools wie GitGuardian oder Gitleaks?
Aikido bietet die gleiche Erkennungsqualität wie GitGuardian/Gitleaks, integriert aber das Scannen von Geheimnissen in eine breitere Sicherheitsplattform. Es reduziert Rauschen mit kontextbezogener Triage und vereinheitlicht Warnungen über Code, Cloud, IaC und secrets. Es ist ein Tool für alle Risiken - kein Jonglieren mit mehreren Plattformen.
Erkennt Aikido secrets nur im Quellcode, oder auch in Konfigurationsdateien und anderen Orten wie YAMLs?
Ja, es scannt alle Textdateien - Code, YAML, JSON, .env-Dateien, Terraform, Commit-Nachrichten und mehr. Secrets verstecken sich oft in Konfigurationen oder Manifesten, und Aikido überprüft sie alle, um versehentliche Lecks aufzuspüren, wo immer sie auftauchen.
Wenn wir bereits das geheime Scannen oder die Pre-Commit-Hooks von GitHub verwenden, warum brauchen wir dann die geheime Erkennung von Aikido?
Aikido ergänzt GitHub-Scans und Hooks mit einer breiteren Abdeckung (Unterstützung mehrerer Plattformen), zentraler Alarmierung und tieferem Kontext. Es ist nicht auf die Einrichtung durch Entwickler angewiesen, reduziert Fehlalarme und erkennt secrets in allen Repos - selbst wenn Hooks umgangen werden. Es bietet mehrschichtigen Schutz und bessere Sichtbarkeit.
Mehr zu entdecken
Starten Sie kostenlos
Sichern Sie Ihren Code, Cloud und die Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell automatisch.
.avif)
