Le volume de secrets exposés dans les dépôts de code source des entreprises est considérable. GitGuardian sonne l’alerte !
Les 5 recommandations pour une approche « Zero Secret dans le code »
Les équipes AppSec ne peuvent plus gérer seules la fuite des secrets et ont besoin des équipes de développement. Dans le contexte du développement de logiciels, les secrets font référence à des clés d’authentification numérique qui permettent d’accéder à des systèmes ou données. Il s’agit le plus souvent de clés API, de noms d’utilisateur et de mots de passe, ou de certificats de sécurité.
Le volume des secrets codés en dur bouleverse la capacité de remédiation des équipes de sécurité et impacte le processus de transition vers le DevSecOps.
Augmentation du phénomène de la fuite des secrets
La surveillance de GitHub public par GitGuardian révèle un « doublement du nombre de secrets exposés, atteignant un peu plus de 6 millions en 2021 ».
Selon une étude sur Docker Hub, « 4,6% des images disponibles publiquement exposent au moins un secret ».
Téléchargez cette ressource
Solutions Cloud & Services Managés Simplifiés
Comment capitaliser sur son existant tout en bénéficiant, dès à présent, des promesses de flexibilité et de scalabilité du cloud ? Découvrez les bonnes pratiques pour répondre aux défis de simplification du Cloud dans ce nouveau TOP 5.
Les recommandations pour une politique « Zero Secret dans le Code »
Comment mettre l’accent sur la prévention collaborative ? Avec plus de discipline, d’éducation et les bons outils, la situation peut s’améliorer.
La détection des incidents et la remédiation peuvent être déplacées à différents niveaux pour une défense en couches au cours du cycle de développement.
Découvrez l’approche progressive de GitGuardian pour une politique « zéro secret dans le code »
- Commencer par surveiller les commits et les demandes de merge/pull en temps réel
pour tous les dépôts avec une intégration VCS ou CI native, où se trouve la menace ultime
- Activer progressivement les contrôles pre-receive
pour protéger les dépôts centralisés contre les fuites et « arrêter l’hémorragie ».
- Sensibiliser les utilisateurs à l’utilisation des contrôles pre-commit
comme ceinture de sécurité.(shift left au niveau du développeur).
- Planifier une stratégie à plus long terme
pour traiter les incidents plus anciens découverts par l’analyse de l’historique git.
- Mettre en œuvre un programme de champion sécurité des secrets.
Selon Jérémy Thomas, CEO de GitGuardian « Le développement et la mise à disposition d’applications sécurisées doivent être une responsabilité partagée entre les équipes Dev, Sec et Cloud Ops. Les développeurs, en particulier, veulent avoir “un allié” à chaque étape du cycle de développement pour les aider à écrire un code plus sûr sans nuire à leur productivité. Et comme définir les menaces et suivre le rythme des technologies utilisées par les développeurs sera toujours une bataille sans fin, nous avons déjà posé les bases d’un cadre de sécurité du code puissant et flexible qui peut être étendu rapidement pour adresser une grande variété de vulnérabilités ».
Source Rapport de GitGuardian « State of Secrets Sprawl 2022 ».
Le moteur de détection des secrets de GitGuardian est en production depuis 2017, analysant des milliards de commits provenant de GitHub. GitGuardian a développé une vaste bibliothèque de détecteurs spécifiques, capable de détecter plus de 350 types de secrets différents.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Cybersécurité & Cybermenaces : à qui profite l’IA ?
- Les incidents technologiques sont des signaux d’alarme pour la résilience des infrastructures
- Le spatial dans le viseur des cyberattaquants
- Connaître son client : exploiter les API des réseaux pour offrir des services personnalisés et sur mesure
- Architecte cloud : applications de chatbot & Azure OpenAI Service