ReversingLabs, Yazılım Tedarik Zinciri Güvenliği (SSCS) platformunda yeni sır algılama özelliklerini açıkladı. ReversingLabs, ekiplere geliştiricilerin iyileştirme çabalarına öncelik vermek, manuel önceliklendirme yorgunluğunu azaltmak ve sır sızıntılarını önleyen güvenlik kontrollerini iyileştirmek için gereken bağlamı ve şeffaflığı sağlayarak sır algılama kapsamını iyileştirir.
“Bu yeni yetenekler, ReversingLabs’in artan yazılım tedarik zinciri karmaşıklığını ve giderek karmaşıklaşan tehditleri ele alma taahhüdünün altını çiziyor. ReversingLabs CEO’su Mario Vuksan, “Kapsamlı çözümümüz, ekiplerin yazılım tedarik zinciri tehditlerini, kötü amaçlı yazılımları, kötü niyetli davranışları, kurcalamayı ve sır ifşalarını tespit ederek yazılımın piyasaya sürülmesini güvenli bir şekilde kontrol etmesini sağlıyor” dedi.
“Tedarik zinciri riskleri, açık kaynaklı ve üçüncü taraf bileşenleri, ticari yazılımlar ve ikili hatalı yapılandırmaların getirdiği tüm zorluklarla yüzleşen gelişmiş uygulama güvenliği yetenekleri gerektirir. SSCS platformumuz, yalnızca açık kaynak lisans uyumluluğu ve güvenlik açığı tespiti sağlayan veya güvenlik açıkları için kaynak kodu kalitesini analiz eden mevcut çözümlerin bıraktığı boşlukları dolduruyor” dedi.
Sırların riski
Günümüzde karmaşık yazılımlar, genellikle ‘sırlar’ olarak adlandırılan dijital kimlik doğrulama bilgilerine dayanan bileşenler içerir. Bunlar, oturum açma kimlik bilgileri, API belirteçleri ve şifreleme anahtarları gibi öğeleri içerir.
Modern yazılımların çalışması için kritik olsa da sırların Yazılım Geliştirme Yaşam Döngüsü (SDLC) veya Sürekli Entegrasyon ve Sürekli Teslimat (CI/CD) aşamalarında yönetilmesi zordur. Bu meydan okuma, sırların yanlışlıkla açığa çıkmasına neden olabilir.
Potansiyel teşhirler, düz metin parolaların kullanımından kaynaklanabilir; zayıf şifreleme; gizli yapılandırma dosyalarını içeren dizinleri içeren komut dosyaları oluşturun; kusurlu CI/CD veya paketleme otomasyonu; güvenliği ihlal edilmiş geliştirici hesaplarından ve kötü niyetli içeriden kişilerden bahsetmiyorum bile.
“Yazılım sürüm paketlerinde yer alan ifşa edilmiş sırlar, işletmeleri bir yazılım tedarik zinciri ihlaline karşı savunmasız bırakıyor. CircleCI ve CodeCov olaylarından başka bir yere bakmayın,” diye ekledi Vuksan. “Bu yeni sır yetenekleriyle, yazılım yayıncılarına diğer mevcut tekliflerin vermediği bir şey veriyoruz: sır tespiti ve yönetimi için özel yeteneklerle tedarik zinciri risklerine ilişkin daha iyi görünürlük.”
SSCS platform sırları ifşa
Geçerli sırları algılama araçları, yanlış pozitifleri kaldıramadıkları, yapılardaki tüm sırları listeleyemedikleri veya eyleme geçirilebilir sonuçlar sağlayamadıkları için yetersiz kalıyor. Sonuç olarak, birçok geliştirici, öncelik sırasına koymak ve düzeltmek yerine keşfedilen özellikleri atlar.
Bu teklifler ayrıca hangi sırların açığa çıktığını da belirleyemez. Sıklıkla risk düzeyinin altını yeterince çizemezler veya üçüncü taraf sırlarını ve eyleme geçirilemeyen diğer yanlış pozitif sonuçları otomatik olarak bastırırlar.
ReversingLabs’in yeni yetenekleri, geliştiricilere, tespit edilen sırlara öncelik vermek ve geliştiricilere anında çözüm sağlamaya yardımcı olan eyleme geçirilebilir uyarılar vermek için ihtiyaç duydukları görünürlük ve güveni verir.
ReversingLabs Yazılım Tedarik Zinciri Güvenliği çözümü, özel anahtarlar, sürüm kontrolü, sertifikalar, belirteçler ve daha fazlası dahil olmak üzere 250’den fazla gizli tür tanımlayabilir.
Sırlar belirlendikten sonra, ReversingLabs sır bulma aracı, güvenlik ekiplerine “gerçek pozitif” doğrulama yapma yeteneği sağlar; sızan sırları tam olarak bulun ve hangi hizmetlerin etkilendiğini belirleyin; ve açığa çıkan veya sızan sırların başka bir yerde bulunup bulunmadığını belirleyin.
Çözüm, iyileştirme çabalarına öncelik verir ve üçüncü taraf, açık kaynak test anahtarlarını ve diğer yaygın olarak paylaşılan sırları ortadan kaldırarak yanlış pozitifleri ve manuel önceliklendirmeden kaynaklanan yorgunluğu azaltır.
ReversingLabs sır yetenekleri, üstün tespit ve bağlamsal önceliklendirme, “tam zamanında” sır yönetimi, “canary token” yönetimi ve özel tespit ilkeleri içerir. Ek olarak, ReversingLabs, hassas bilgi politikaları için halka açık rehberlik sağlar.
Bu, web hizmeti erişim kimlik bilgileri için hizmete göre halka açık ifşaların ve sır dökümlerinin belgelenmesini içerir; web hizmeti erişim belirteçleri; web hizmeti API anahtarları; ve webhook hizmeti erişim anahtarları.