Производитель менеджеров паролей пытается побудить разработчиков программного обеспечения принять более безопасное управление секретами с некоторыми новыми функциями, добавленными к его флагманскому продукту.
Запущен под названием Developer Tools, 1Пароль заявили, что новые функции помогут разработчикам легко и безопасно создавать, управлять и получать доступ к секретам в своих обычных рабочих процессах.
Инструменты также помогут упростить сложные процессы и улучшить методы обеспечения безопасности, чтобы обеспечить защиту данных, не замедляя конвейер разработки, добавил он, а также предоставить разработчикам безопасный доступ к секретам, в которых они нуждаются, где бы они ни находились, независимо от устройства, на котором они работают. используют.
«Исторически одним из самых больших ограничений для безопасного кодирования и операций были инструменты для безопасного управления секретами — пароли и ключи, необходимые для безопасного соединения компонентов», — заметил Кейси Биссон, руководитель отдела по работе с продуктами и разработчиками в BluBracketпоставщик решений для защиты кода в Пало-Альто, Калифорния.
«В слишком многих случаях, — сказал он TechNewsWorld, — эти секреты хранятся в коде. Но тайна в коде — это тайна, рассказанная».
Ссылаясь на исследование 1Password, директор по продуктам и генеральный менеджер Emerging Solutions Акшай Бхаргава сообщил TechNewsWorld, что каждый четвертый сотрудник в компаниях IT DevOps хранит секреты в 10 или более местах и делится ими с коллегами по небезопасным каналам, например, в электронная почта или сообщение Slack.
Он добавил, что каждый третий работник IT DevOps говорит, что будет делиться секретами по незащищенным каналам, если это поможет им быстрее выполнять свою работу.
Более того, продолжил он, 61 процент проектов задерживается из-за плохого управления секретами.
Простое управление ключами SSH
Новые функции в предложении Developer Tools включают управление ключами SSH, что позволяет разработчикам хранить и использовать ключи SSH всего несколькими щелчками мыши.
Чтобы избежать ошибок, 1Password для браузера будет автоматически заполнять открытые ключи разработчика на популярных сайтах, включая GitHub, GitLab, BitBucket и Digital Ocean.
Затем с помощью встроенного агента SSH пользователи могут отправлять код на GitHub и аутентифицировать другие рабочие процессы SSH в терминале, просто сканируя свои отпечатки пальцев, повышая безопасность с меньшими усилиями.
Разработчикам больше не нужно запоминать или вводить ключевые фразы-пароли, вручную копировать ключи на новые устройства или хранить файлы на своем диске, тем самым избегая слабого шифрования ключей SSH и других угроз безопасности.
«Все трудности, связанные с обменом ключами на разных машинах, добавлением и удалением ключей из агента, вводом фраз-паролей с ключей — теперь это всего лишь одна биометрическая аутентификация», — сказал в своем заявлении Марсель Керстен, разработчик программного обеспечения в ComLine GmbHd.
Новый интерфейс командной строки и хранилище секретов
Новый интерфейс командной строки с улучшенным синтаксисом и новой биометрической разблокировкой позволяет разработчикам быстро управлять секретами, инициализировать пользователей или автоматизировать рабочие процессы в терминале, не переключаясь с инструментов разработки и не вводя пароли вручную.
Инструменты разработчика также упрощают управление ключами с помощью команд CLI Inject и Run, позволяя разработчикам кодировать с секретными ссылками, которые заменяются фактическими ключами API из их хранилища во время выполнения.
«Новый интерфейс командной строки 1Password позволил нашей команде веб-разработчиков сэкономить время, синхронизируя пароли и ключи API гораздо более безопасным способом, чем это было возможно ранее», — сказал Крейг Хаселер, руководитель проекта в TechSource, в заявлении.
«Я настоятельно рекомендую любой команде веб-разработчиков изучить инструменты командной строки 1Password для повышения безопасности и эффективности», — добавил он.
Зашифрованные хранилища для хранения секретов, поэтому вместо их жесткого кодирования или хранения в виде незащищенного открытого текста, в файлах конфигурации или электронных таблицах разработчики могут управлять своими секретами и получать к ним доступ в одном месте с помощью своих предпочтительных инструментов и рабочих процессов.
Хранение секретов в зашифрованных хранилищах и в качестве одного из нескольких типов элементов по умолчанию — учетных данных API, учетной записи AWS, базы данных, сервера или ключа SSH — поможет предотвратить нарушения, вызванные утечкой секретов.
Инструменты разработчика также облегчают совместную работу, предоставляя безопасный доступ к секретам всей команды.
Обескураживающие ярлыки
Новые инструменты от 1Password направлены на то, чтобы поощрять разработчиков к лучшему управлению секретами и отговаривать их от урезания углов, которые могут создать риски для безопасности.
«Дело не столько в том, чтобы срезать углы, сколько в том, чтобы найти способ работать в установленные сроки и стараться быть максимально эффективным», — объяснил Дэниел Кеннеди, директор по исследованиям в области информационной безопасности и сетей, в 451 Исследованиякоторый является частью S&P Global Market Intelligence.
«Организации устанавливают всевозможные благонамеренные процессы, сканирование кода и другие инструменты тестирования приложений, и если они создают много трений в повседневной жизни разработчиков, до такой степени, что они думают, что бремя перевешивает ценность, у них есть много агентства, иногда скрытого агентства, чтобы обойти эти препятствия», — сказал он TechNewsWorld.
«Разработчикам не платят за обеспечение безопасности. Им платят за предоставление функций», — добавил Джон Бамбенек, главный охотник за угрозами в Нетенрихкомпания, занимающаяся информационными технологиями и цифровой безопасностью, из Сан-Хосе, Калифорния.
«Часто они работают в сжатые сроки, чтобы выйти на рынок, а это означает, что любая задержка, даже по соображениям безопасности, может быть отложена», — сказал он TechNewsWorld.
Помада на охранной свинье
Традиционно считалось, что безопасность замедляет разработчиков. «Это не обязательно так, и новые поставщики — настоящие поставщики DevSecOps — поняли это, и разработчики любят их использовать, потому что они на самом деле ускоряют разработку, а не замедляют ее», — заметил Ларри Макчероне, евангелист трансформации DevSecOps в Контрастная безопасностьпроизводитель программного обеспечения для самозащиты в Лос-Альтосе, Калифорния.
«Однако большинство поставщиков инструментов безопасности — это просто губная помада DevOps на традиционной свинье безопасности», — сказал он TechNewsWorld.
DevSecOps создал чувство общей ответственности в мире разработки, считает Джош Брессерс, вице-президент по безопасности в Якорькомпания по разработке программного обеспечения в Санта-Барбаре, Калифорния.
«Если вы посмотрите на более традиционные модели разработки, у вас была разработка, у вас было тестирование, у вас была безопасность, у вас были все эти разные группы с немного разными целями». — сказал он TechNewsWorld. «Всякий раз, когда у вас есть разные группы с разными целями, вы получаете разные результаты. В DevSecOps, где у вас есть общая ответственность, цели более согласованы».
«Если учесть, как большинство компаний изначально подходили к созданию безопасного кода, то есть выполняли сканирование огромных баз кода, а затем масштабные проекты по очистке, мы прошли долгий путь», — добавил Кеннеди.
«Появление системы безопасности в момент запуска проекта с сотнями уязвимостей, которые необходимо устранить, не является эффективным подходом к обеспечению безопасности приложений», — продолжил он. «Если сканирование можно выполнять поэтапно в соответствующих точках конвейера разработки, это гораздо более простой способ гарантировать, что приложения создаются и обновляются с должным вниманием к безопасности».
