Popüler açık kaynaklı şifre yöneticisi aracının üreticisi Bitwarden, BT profesyonelleri, yazılım geliştirme ekipleri ve DevOps endüstrisi için uçtan uca şifrelenmiş sırlar yöneticisi olan ‘Secrets Manager’ı piyasaya sürdü.
Araç, sırları sabit olarak kodlamaya veya e-posta üzerinden ‘.env’ dosyalarını paylaşmaya güvenli bir alternatif olarak hareket ederek kullanıcılara esneklik, ölçeklenebilirlik sağlamayı ve veri ihlali durumunda sırlarını güvende tutmayı amaçlıyor.
Bu sırlar genellikle API anahtarlarını, kullanıcı kimlik doğrulama sertifikalarını, veritabanı şifrelerini, SSL ve TLS sertifikalarını, özel şifreleme anahtarlarını, SSH anahtarlarını vb. içerir.
Bu sırlar, siber saldırıların ardından yanlışlıkla çevrimiçi ortamda açığa çıkar veya geliştirme yaşam döngüsündeki zayıf güvenlik uygulamaları nedeniyle kamuya sızdırılır.
Geçtiğimiz yıl Symantec, iOS platformuna yönelik 1.800’den fazla uygulamanın sabit kodlu AWS kimlik bilgileri içerdiğini ve bunun geliştiricilerini ve kullanıcılarını değişen risk düzeylerine maruz bıraktığını bildirdi.
Sorun o kadar yaygın ki GitHub, depo sahiplerini sırların açığa çıkmasına yol açan yanlış yapılandırmalar konusunda uyaracak bir sistem başlattı ve bağımsız güvenlik araştırmacıları, kamuya açık AWS S3 depolama paketlerindeki sırları taramaya özel açık kaynaklı araçlar yazdı.
Bitwarden Secrets Manager, kullanıcılara bunları almaları, paylaşmaları ve geliştirme ekipleri arasında dağıtmaları için kolay ve güvenli bir yol sunarken aynı zamanda bireyler veya gruplar için ayrıntılı erişim izinlerini destekleyerek bu sorunu çözmeye hazırlanıyor.
Secrets Manager, parola yöneticisiyle aynı açık kaynak yaklaşımını izler; bu nedenle kod tabanı, CLI, SDK ve entegrasyon kodu incelemeye tabidir ve ayrıca özel uygulamaların esnekliğine olanak tanır.
Araç, geliştirme ekiplerinin ihtiyaçlarına bağlı olarak üç katmanda sunuluyor ancak sınırsız sırları, iki kullanıcıyı, üç projeyi ve üç hizmet hesabını destekleyen ücretsiz bir sürümü de var.
Aylık maliyeti sırasıyla 6 ABD Doları ve 12 ABD Doları olan ‘Ekipler’ ve ‘Kurumsal’ katmanları, bu sınırları yükseltiyor ve FIDO2 kimlik doğrulaması desteği, otomatik provizyon, SSO entegrasyonu ve daha gelişmiş yönetim özellikleri gibi ek iş işlevleri sunuyor.
Bitwarden Secrets Manager şimdilik GitHub Actions ile entegrasyonu destekliyor ancak Kubernetes, Terraform ve Ansible entegrasyonları için desteğin gelecek sürümlerde sunulması bekleniyor.
Ayrıca, aracın SDK’sına daha fazla dil eklenecek ve erişim yönetimi, belirli hesaplara bireysel gizli atamalar için ek seçeneklerle geliştirilecek.