, 2022/3/24
Egy jelszómenedzser-gyártó néhány új funkcióval próbálja ösztönözni a szoftverfejlesztőket a biztonságosabb titokkezelésre, amelyeket a zászlóshajó termékéhez adtak hozzá. A Developer Tools néven bevezetett 1Password kijelentette, hogy az új funkciók segítségével a fejlesztők könnyedén és biztonságosan tudnak titkokat létrehozni, kezelni és elérni a szokásos munkafolyamatok során.
Az eszközök segítenek továbbá egyszerűsíteni az összetett folyamatokat és javítani a biztonsági gyakorlatokat, hogy az adatok védelme biztosított legyen, anélkül, hogy lelassulna a fejlesztési folyamat, tette hozzá, valamint biztonságos hozzáférést biztosítanak a fejlesztőknek a szükséges titkokhoz, bárhol is legyenek, függetlenül attól, hogy milyen eszközt használnak.
"Történelmileg a biztonságos kódolás és működés egyik legnagyobb korlátja a titkok - a komponensek biztonságos összekapcsolásához szükséges jelszavak és kulcsok - biztonságos kezeléséhez szükséges eszközök voltak" - jegyezte meg Casey Bisson, a kódbiztonsági megoldásokat kínáló BluBracket termék- és fejlesztői kapcsolatokért felelős vezetője Palo Altóban (Kalifornia állam).
"Túl sok esetben" - mondta a TechNewsWorldnek - "ezeket a titkokat kódban tárolják. De a kódban lévő titok elárult titok". A 1Password termékigazgatója és a feltörekvő megoldásokért felelős vezérigazgatója, Akshay Bhargava a TechNewsWorldnek egy tanulmányt idézve elmondta, hogy az IT DevOps cégeknél minden negyedik alkalmazott 10 vagy több helyen tárol titkokat, és ezeket nem biztonságos csatornákon, például e-mailben vagy Slack üzenetben osztotta meg a kollégákkal.
Hozzátette, hogy minden harmadik IT DevOps dolgozó azt mondja, hogy megosztja a titkokat nem biztonságos csatornákon keresztül, ha ez segít nekik abban, hogy gyorsabban végezzék el a munkájukat. Mi több, folytatta, a projektek 61 százaléka késik a rossz titokkezelés miatt.
Egyszerű SSH kulcskezelés
A Developer Tools kínálat új funkciói közé tartozik az SSH-kulcsok kezelése, amely lehetővé teszi a fejlesztők számára, hogy néhány kattintással tárolják és használják az SSH-kulcsokat. A hibák elkerülése érdekében az 1Password for the browser automatikusan kitölti a fejlesztő nyilvános kulcsait a népszerű webhelyeken, például a GitHub, a GitLab, a BitBucket és a Digital Ocean oldalakon.
Ezután a beépített SSH-ügynökkel a felhasználók a GitHubra küldhetnek kódot, és más SSH-munkafolyamatokat hitelesíthetnek egy terminálban, egyszerűen az ujjlenyomatuk beolvasásával, így kevesebb erőfeszítéssel növelve a biztonságot. A fejlesztőknek többé nem kell megjegyezniük vagy begépelniük a kulcsok jelszavait, manuálisan másolniuk a kulcsokat új eszközökre, vagy tárolniuk a fájlokat a lemezükön, így elkerülhető az SSH-kulcsok gyenge titkosítása és más biztonsági kockázatok.
"A kulcsok különböző gépeken történő cseréjével, a kulcsok hozzáadásával és eltávolításával az ügynökből, a kulcsok jelszavainak beírásával járó összes gondot mostantól egyetlen biometrikus hitelesítéssel kell megoldani" - mondta Marcel Kersten, a ComLine GmbHd szoftverfejlesztője egy nyilatkozatban.
Új CLI és Secrets Vault
Az új parancssori felület, a továbbfejlesztett szintaxis és az új biometrikus feloldás lehetővé teszi a fejlesztők számára, hogy gyorsan kezeljék a titkokat, biztosítsanak felhasználókat vagy automatizálják a munkafolyamatokat egy terminálban anélkül, hogy a fejlesztői eszközeikből át kellene váltaniuk vagy kézzel be kellene gépelniük a jelszavakat.
A fejlesztői eszközök a CLI injektálási és futtatási parancsaival is egyszerűsítik a kulcsok kezelését, lehetővé téve a fejlesztők számára, hogy titkos hivatkozásokkal kódoljanak, amelyek futáskor a páncélteremből származó tényleges API-kulcsokat helyettesítik. "Az új 1Password CLI lehetővé tette a webfejlesztő csapatunk számára, hogy a jelszavak és API-kulcsok szinkronizálására a korábbinál sokkal biztonságosabb módon időt takarítson meg" - mondta Craig Haseler, a TechSource projektmenedzsere egy nyilatkozatban.
"Erősen ajánlom minden webfejlesztő csapatnak, hogy a biztonság és a hatékonyság növelése érdekében vegye fontolóra a 1Password CLI eszközeinek használatát" - tette hozzá. Titkok tárolására szolgáló titkosított trezorok, így ahelyett, hogy keményen kódolnák vagy nem biztonságos plaintextként, konfigurációs fájlokban vagy táblázatokban tárolnák őket, a fejlesztők egy helyen, az általuk preferált eszközökön és munkafolyamatokon belül kezelhetik és érhetik el titkaikat.
A titkok titkosított páncéltermekben és a több alapértelmezett elemtípus - API hitelesítő adatok, AWS-fiók, adatbázis, kiszolgáló vagy SSH-kulcs - egyikeként történő tárolása segít megelőzni a kiszivárgott titkok által okozott jogsértéseket. A fejlesztői eszközök megkönnyítik az együttműködést is, mivel biztonságos hozzáférést biztosítanak a titkokhoz a csapaton belül.
A rövidítések elrettentése
Az 1Password új eszközeinek célja, hogy ösztönözze a fejlesztőket a titkok jobb kezelésére, és lebeszélje őket a biztonsági kockázatokat okozó rövidítésekről.
"Nem is annyira a sarkításokról van szó, hanem inkább arról, hogy megtaláljuk a módját annak, hogy a kiszabott határidőkön belül dolgozzunk, és megpróbáljunk a lehető leghatékonyabban eljárni" - magyarázta Daniel Kennedy, az S&P Global Market Intelligence részeként működő 451 Research információbiztonsági és hálózati kutatási igazgatója.
"A szervezetek mindenféle jó szándékú folyamatokat, kódvizsgálatot és egyéb alkalmazástesztelő eszközöket telepítenek, és ha ezek sok súrlódást okoznak a fejlesztők mindennapjaiban, olyannyira, hogy úgy gondolják, a teher meghaladja az értéket, akkor sok - néha rejtett - ügynöki képességük van arra, hogy ezeket az akadályokat megkerüljék" - mondta a TechNewsWorldnek.
"A fejlesztőket nem azért fizetik, hogy biztonságot nyújtsanak. Azért fizetik őket, hogy funkciókat szállítsanak" - tette hozzá John Bambenek, a San Jose-i (Kalifornia állam) Netenrich IT és digitális biztonsági műveleteket végző vállalat vezető fenyegetésvadásza. "Gyakran szoros határidőkkel dolgoznak, hogy siessenek a piacra, ami azt jelenti, hogy bármilyen késedelem, akár a biztonságot illetően is, az út szélén maradhat" - mondta a TechNewsWorldnek.
Rúzs egy biztonsági disznón
A biztonságot hagyományosan úgy tekintették, mint a fejlesztők lassítását. "Ennek nem kell így lennie, és az újabb gyártók - az igazi DevSecOps-gyártók - rájöttek erre, és a fejlesztők szeretik használni őket, mert valójában felgyorsítják a fejlesztést, nem pedig lelassítják" - jegyezte meg Larry Maccherone, a Los Altos-i (Kalifornia állam) Contrast Security, egy önvédelmi szoftvermegoldásokat gyártó cég DevSecOps-átalakítási evangelistája.
"A legtöbb biztonsági eszközgyártó azonban csak DevOps rúzs a hagyományos biztonsági disznón" - mondta a TechNewsWorldnek. A DevSecOps a megosztott felelősség érzetét keltette a fejlesztői univerzumban, állította Josh Bressers, az Anchore, egy szoftverfejlesztési biztonsági cég biztonsági alelnöke Santa Barbarában, Kaliforniában.
"Ha megnézzük a hagyományosabb fejlesztési modelleket, akkor volt a fejlesztés, volt a tesztelés, volt a biztonság, voltak ezek a különböző csoportok kissé eltérő célokkal" - mondta a TechNewsWorldnek. "Amikor különböző csoportok vannak különböző célokkal, akkor különböző eredményeket kapunk. A DevSecOps-ban, ahol közös a felelősség, a célok jobban összehangolódnak"."
"Ha figyelembe vesszük, hogy a legtöbb vállalat eredetileg hogyan közelítette meg a biztonságos kód létrehozását, ami a hatalmas kódbázisok ellen végzett vizsgálatokból, majd masszív tisztítási projektekből állt, hosszú utat tettünk meg" - tette hozzá Kennedy. "Az, hogy a biztonság akkor érkezik, amikor egy projekt épp a gyártásba kerül, és több száz sebezhetőséget kell kitakarítani, nem hatékony megközelítés az alkalmazásbiztonsághoz" - folytatta.
"Ha a vizsgálatokat fokozatosan, a fejlesztési folyamat megfelelő pontjain lehet elvégezni, akkor ez sokkal kisebb súrlódást jelent annak biztosítására, hogy az alkalmazások létrehozása és frissítése a biztonság figyelembevételével történjen."