Veza ve GitHub entegrasyonu ile GitHub kullanan Veza müşterileri, kuruluşun kod tabanına erişim izinlerini yöneterek artık şirket IP’sini tehdit aktörlerinin elinden uzak tutabilir.
Kimlikle ilgili saldırılar, veri ihlallerinin ardındaki en büyük suçlu olmaya devam ediyor. Bir tehdit aktörü, kaynak koduna yetkisiz erişim sağladığında, mühendisler ve güvenlik ekipleri tarafından kontrol edilmeden bir projeye kötü amaçlı kod ekleyebilir.
Yalnızca tek seferlik erişimle, bir tehdit aktörü kodu çevrimdışı görüntüleme için indirebilir, bu da onlara açıkları aramak, müşteri verilerini bulmak ve kimlik bilgilerini ve API anahtarlarını toplamak için bolca zaman verir. Okta’da Aralık ayında bildirilen bir olay, bilgisayar korsanlarının GitHub depolarına yetkisiz erişim sağlayarak kaynak kodunu nasıl ele geçirebileceğini gösterdi.
Kaynak kodu, değerli IP’dir ve hırsızlık için çekici bir hedeftir. Ancak tüm kuruluş üyeleri, dış ortak çalışanlar ve GitHub’da çalışan ekipler arasında uygun erişim izinlerini sürdürmek zor olabilir.
Dahili çalışanların harici katkıda bulunanlarla işbirliği yapması yaygın bir durumdur, bu nedenle tüm kullanıcıları takip edecek ve MFA’nın (çok faktörlü kimlik doğrulama) kullanıldığından emin olacak tek bir kimlik sağlayıcı yoktur.
Ayrıca, geliştiriciler genellikle kişisel GitHub kimliklerini birden fazla işte kullanır ve bu da dahili ve harici katkıda bulunanları ayırt etmeyi zorlaştırır. GitHub’ın kullanıma hazır izin yönetim sistemi ayrıntılı erişim kontrolü sunarken, kuruluşlar bu izinleri anlamakta zorlanır. Zorluk, katkıda bulunanların sayısıyla birlikte büyür.
Veza CEO’su Tarun Thakur, “Müşterilerimizin çoğu için GitHub depoları, şirketin taç mücevherlerini içeriyor, bu nedenle onlara uygunsuz erişimi bulma ve düzeltme gücü veriyoruz” dedi.
“Tehdit aktörleri güvenlik açıklarını bulmak için her gün çalışırken, üç aylık erişim incelemelerine güvenmek artık bir seçenek değil. Veza, sürekli uyumluluk sağlamayı kolaylaştırıyor,” diye ekledi Thakur.
Nozomi Networks Küresel Uyumluluk Başkanı Frank Dellé, “Müşterilerimizin verilerini güvence altına almak ve küresel düzenlemelere uyumlu kalmak için kaynak kodumuzun bütünlüğünü ve gizliliğini korumak çok önemlidir” dedi.
“Veza, GitHub ve diğer veri sistemlerinde erişim politikalarımızı izlememizi ve uygulamamızı sağlayarak, rol tabanlı erişim kontrolünü ölçekte yönetmemize olanak tanıyor. Veza ile, erişim denetimi katmanlarımızın en az ayrıcalık sağlamak için birleşik etkisini anlayabiliyoruz,” diye devam etti Dellé.
Veza’nın GitHub entegrasyonuyla, kimlik ve güvenlik ekipleri, kullanıcıların hangi eylemleri gerçekleştirebileceğini (okuma, yazma, silme) anlamak için rol tabanlı erişim kontrolünün ötesine geçer.
Veza müşterileri, aşırı izinleri otomatik olarak bulabilir ve düzeltmek için adımlar atabilir. IAM, güvenlik güvencesi ve uyumluluk üzerinde çalışan ekipler için Veza, otomatikleştirilmiş iş akışlarıyla erişim incelemelerini ve sertifikaları hızlandırır.
GitHub ile entegrasyonun temel özellikleri:
- Herhangi bir GitHub deposu için erişim incelemeleri ve iyileştirme gerçekleştirin
- Dahili ve harici ortak çalışanlar arasında erişimi görselleştirin
- Mimari en az ayrıcalıklı erişim kontrolleri
- Gereksiz erişimi ortadan kaldırmak için sahipsiz veya etkin olmayan yerel GitHub hesaplarını denetleyin
- Kod depoları olarak Altyapı gibi oldukça hassas kod izinlerindeki değişiklikler için uyarıları yapılandırın