Recherche

Secrets Security

Une approche complète et multidimensionnelle pour détecter et sécuriser les secrets exposés et vulnérables dans tous les fichiers de vos référentiels et pipelines CI/CD
Demandez une démo
secrets-gitlab

Les développeurs utilisent des secrets pour permettre aux applications de communiquer de façon sécurisée avec d’autres services cloud. Mais le stockage de ces données dans les fichiers de systèmes de contrôle des versions (VCS) tels que GitHub n’est pas sécurisé et peut entraîner l’apparition de vulnérabilités exploitables. Ce danger se manifeste lorsque les développeurs oublient d’effacer les secrets dans le code source. Le problème, c’est qu’une fois une telle information publiée dans un référentiel, elle est enregistrée dans son historique. Résultat : n’importe quel utilisateur peut facilement y accéder. Le risque est d’autant plus grand lorsque le contenu des référentiels est rendu public, ce qui permet aux attaquants de repérer facilement ces ressources pour les utiliser à mauvais escient.

La plupart des outils se contentent de scanner les secrets au cours d’une seule des phases du cycle applicatif. Ils peuvent donc entièrement passer à côté de certains types de secrets. Cortex® Cloud, en revanche, vérifie qu’aucun secret n’est exposé accidentellement et réduit le nombre de faux positifs sans ralentir la cadence de développement.

Les secrets codés en dur sont courants dans le développement cloud-native

Si le codage en dur des identifiants simplifie la tâche des développeurs, il constitue néanmoins une pratique dangereuse, notamment dans le domaine du développement matriciel ainsi que dans les référentiels cloud. Et une pratique répandue de surcroît, puisque 41 % des référentiels abritent des secrets.

L’exposition publique amplifie le risque

Les secrets se retrouvent souvent exposés dans les référentiels publics, dans les systèmes VCS ou les registres. Par ailleurs, tout secret ajouté directement au code source, aux modèles IaC ou encore aux fichiers de configuration CI/CD peut être visible dans un système VCS ou exposé de façon accidentelle dans les journaux de build.

Les outils cloisonnés génèrent une sécurité inégale

Les outils individuels d’analyse des secrets n’offrent pas toujours une couverture homogène sur les environnements de build et runtime. Faute de les intégrer à une stratégie CNAPP globale, les entreprises se retrouvent avec une visibilité seulement partielle sur le risque.

Cortex Cloud constitue une solution simple contre l’exposition de secrets durant le build et le runtime.

Elle s’intègre aux outils DevOps et analyse en permanence les secrets exposés pendant tout le cycle de développement, du code au runtime, en passant par le build et le déploiement. Son approche multidimensionnelle, qui combine une bibliothèque de politiques basées sur les signatures et un modèle d’entropie optimisé, lui permet de détecter les secrets dans presque n’importe quel type de fichier, y compris les modèles IaC, les images gold et les référentiels Git.
  • Les méthodes de détection plurielles repèrent les secrets complexes comme les chaînes et les mots de passe aléatoires.
  • Les facteurs de risques contextualisent les secrets afin d’accélérer la priorisation et la remédiation.
  • La solution s’intègre nativement aux outils et workflows de développement.
  • Bibliothèque de plus de 100 signatures
    Bibliothèque de plus de 100 signatures
  • Modèle d’entropie optimisé
    Modèle d’entropie optimisé
  • Visualisation de la supply chain
    Visualisation de la supply chain
  • Couverture étendue
    Couverture étendue
  • Détection pre-commit dans les systèmes VCS et les pipelines CI
    Détection pre-commit dans les systèmes VCS et les pipelines CI
  • Détection dans les workloads et les applications en cours d’exécution
    Détection dans les workloads et les applications en cours d’exécution
Solution

Une approche de la sécurité des secrets multidimensionnelle et « developer-first »

Détection précise

Parmi les identifiants les plus couramment reconnus comme exposés figurent les secrets recourant à des expressions régulières : jetons d’accès, clés API, clés de chiffrement, jetons OAuth, certificats et bien d’autres encore. Cortex Cloud s’appuie sur une centaine de signatures pour détecter et alerter de la présence de divers secrets utilisant des expressions connues et prévisibles.

  • Couverture étendue

    Plus de 100 détecteurs de secrets spécifiques aux domaines génèrent des alertes précises dans les environnements de développement et d’exécution.

  • Analyse élargie et approfondie

    Détectez les secrets dans tous les fichiers de vos référentiels ainsi que dans les historiques de version de vos intégrations.

Détection précise

Modèle d’entropie optimisé

Les secrets ne sont pas tous pourvus de schémas cohérents ou identifiables. Par exemple, les méthodes basées sur les signatures sont incapables de détecter les noms d’utilisateurs et les mots de passe qui reposent sur des chaînes aléatoires. Résultat, certains secrets restent potentiellement exposés et accessibles publiquement. Cortex Cloud enrichit cette approche à l’aide d’un modèle d’entropie optimisé.

  • Modèle d’entropie optimisé

    Éliminez les faux positifs grâce à un modèle d’entropie optimisé qui exploite le contexte des chaînes pour détecter précisément les types de secrets complexes.

  • Visibilité inégalée

    Obtenez une visibilité et une maîtrise complètes sur tous les types de secrets utilisés par les développeurs cloud.

Modèle d’entropie optimisé

Feedback des développeurs

Les développeurs peuvent analyser les risques d’exposition ou de vulnérabilité des secrets via différentes méthodes :

  • Projets

    Les intégrations natives aux workflows de développement mettent au jour les secrets détectés dans les fichiers non conformes.

  • Supply chain

    Le graphe de la supply chain affiche les nœuds des fichiers de code source. Une investigation détaillée de l’arborescence des dépendances aide les développeurs à identifier la cause racine de l’exposition des secrets.

  • Commentaires de pull request

    Les utilisateurs peuvent facilement détecter et supprimer les secrets potentiellement divulgués pendant l’analyse de leurs pull requests.

  • Hooks pre-commit et intégrations CI

    Bloquez l’envoi de secrets vers un référentiel avant l’ouverture d’une pull request via un hook pre-commit.

Feedback des développeurs

Autres capacités de sécurité des applications

SÉCURITÉ DES INFRASTRUCTURES IAC

Intégration et automatisation de la sécurité IaC dans les workflows de développement

En savoir plus

ANALYSE DE LA COMPOSITION LOGICIELLE (SCA)

Fonctionnalités ultra précises et contextualisées de sécurité du code et de conformité des licences open-source

En savoir plus

SÉCURITÉ DE LA SUPPLY CHAIN LOGICIELLE

Renforcez vos pipelines CI/CD, réduisez votre surface d’attaque et protégez votre environnement de développement d’applications.

En savoir plus

SÉCURITÉ IaC (INFRASTRUCTURE-AS-CODE)

Identifiez et corrigez les erreurs de configuration au sein des modèles IaC tels que Terraform, CloudFormation, ARM, Kubernetes et autres.

En savoir plus

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité