Buscar

Secrets Security

Un enfoque multidimensional y completo para encontrar y proteger secretos expuestos y vulnerables en todos los archivos de sus repositorios y ciclos de CI/CD.
Solicitar una demostración
secrets-gitlab

Los desarrolladores utilizan secretos para que sus aplicaciones se comuniquen de forma segura con otros servicios en la nube. Almacenar secretos en un archivo en sistemas de control de versiones (VCS, por sus siglas en inglés) como GitHub no es seguro, ya que se crean posibles vulnerabilidades que se pueden aprovechar. Esto suele ocurrir cuando los desarrolladores dejan sus secretos en el código fuente. Una vez que se confirma un secreto en un repositorio, se guarda en su historial y cualquier usuario puede acceder fácilmente a esas claves. Esto es especialmente arriesgado si el contenido del repositorio se hace público y los ciberdelincuentes pueden encontrarlo y utilizarlo con facilidad.

La mayoría de las herramientas solo buscan secretos de forma selectiva en una fase del ciclo de vida de la aplicación y pueden pasar por alto ciertos tipos de secretos. Cortex® Cloud puede garantizar que ningún secreto se exponga accidentalmente, a la vez que minimiza los falsos positivos y mantiene la velocidad de desarrollo.

Los secretos codificados de forma rígida son habituales en el desarrollo nativo en la nube.

Las credenciales codificadas de forma rígida no constituyen una buena práctica, a pesar de que a los desarrolladores les resulte más fácil utilizarlas y acceder a ellas. Su uso es especialmente peligroso en organizaciones de desarrollo matriciales y en repositorios basados en la nube. Desafortunadamente, son habituales: más del 41 % de los repositorios contienen secretos.

La exposición pública amplifica los riesgos.

Los secretos suelen quedar expuestos en repositorios públicos de su VCS o registro. Asimismo, cualquier secreto que se añada directamente al código fuente, a la IaC o a archivos de configuración de CI/CD (por mencionar unos ejemplos) puede verse en un VCS o quedar expuesto accidentalmente en los logs de compilación.

El uso de herramientas aisladas se traduce en una cobertura incompleta.

Los escáneres de secretos independientes suelen carecer de una cobertura coherente tanto en tiempo de compilación como de ejecución. Si no se integran en una estrategia más amplia de protección de aplicaciones nativas en la nube (CNAPP, por sus siglas en inglés), las organizaciones no podrán tener una visión completa del riesgo.

Cortex Cloud permite que los desarrolladores eviten fácilmente la exposición de secretos en la compilación y en tiempo de ejecución.

Al integrarse en las herramientas de DevOps y en el código, la compilación, la implementación y en tiempo de ejecución, Cortex Cloud busca continuamente los secretos expuestos durante todo el ciclo de desarrollo. Gracias a un potente enfoque multidimensional que combina una biblioteca de políticas basada en firmas y un modelo entrópico perfeccionado, Cortex Cloud identifica los secretos en casi cualquier tipo de archivo, desde plantillas de infraestructura como código (IaC, por sus siglas en inglés) hasta imágenes maestras, pasando por repositorios de Git.
  • Se usan varios métodos de detección para identificar secretos complejos, como cadenas aleatorias o contraseñas.
  • Los factores de riesgo contextualizan los secretos con el fin de agilizar la priorización y la corrección.
  • La solución se integra de forma nativa en las herramientas y flujos de trabajo de los desarrolladores.
  • Biblioteca con más de 100 firmas.
    Biblioteca con más de 100 firmas.
  • Modelo entrópico perfeccionado.
    Modelo entrópico perfeccionado.
  • Visualización de la cadena de suministro.
    Visualización de la cadena de suministro.
  • Amplia cobertura.
    Amplia cobertura.
  • Confirmación previa de detección en procesos de VCS y CI.
    Confirmación previa de detección en procesos de VCS y CI.
  • Detección en cargas de trabajo y aplicaciones en ejecución.
    Detección en cargas de trabajo y aplicaciones en ejecución.
Solución

Enfoque multidimensional para la protección de secretos centrado en los desarrolladores

Detección precisa

Los secretos que utilizan expresiones regulares (tokens de acceso, claves de API, claves de cifrado, tokens OAuth, certificados, etc.) son los que se ven expuestos con más frecuencia. Cortex Cloud cuenta con más de 100 firmas para detectar una amplia gama de secretos con expresiones conocidas y predecibles y mostrar las alertas oportunas.

  • Amplia cobertura

    Más de 100 detectores de secretos específicos garantizan la precisión de las alertas tanto en tiempo de compilación como de ejecución.

  • Análisis amplio y profundo

    Busque secretos en todos los archivos de sus repositorios y en los historiales de versiones de sus integraciones.

Detección precisa

Modelo entrópico perfeccionado

No todos los secretos son patrones coherentes o identificables. Por ejemplo, los métodos basados en firmas no detectarían los nombres de usuario ni las contraseñas de cadenas aleatorias por el hecho de ser aleatorios, lo cual podría dejar las principales claves completamente expuestas y accesibles al público. Cortex Cloud mejora la detección basada en firmas con un modelo entrópico perfeccionado.

  • Modelo entrópico perfeccionado

    Elimine los falsos positivos con un modelo entrópico perfeccionado que aprovecha el contexto de las cadenas para identificar con precisión los tipos de secretos complejos.

  • Visibilidad inigualable

    Obtenga una visibilidad y un control integrales del sinfín de secretos que utilizan los desarrolladores de aplicaciones en la nube.

Modelo entrópico perfeccionado

Información para los desarrolladores

Los desarrolladores pueden analizar los riesgos asociados a los secretos expuestos o vulnerables de varias maneras:

  • Proyectos

    Integraciones nativas en los flujos de desarrollo y facilidad para mostrar los secretos detectados en archivos que incumplen la normativa.

  • Cadena de suministro

    Supply Chain Graph muestra los nodos del archivo de código fuente, y la investigación detallada del árbol de dependencias ayuda a los desarrolladores a identificar la causa principal de la exposición de los secretos.

  • Comentarios sobre solicitudes de incorporación de cambios

    Los usuarios pueden detectar secretos que tal vez se hayan filtrado como parte de sus análisis de solicitudes de incorporación de cambios, que pueden eliminarse fácilmente.

  • Hooks pre-commit e integraciones de CI

    Aproveche el hook pre-commit para bloquear los secretos que se envían a un repositorio antes de que se abra una solicitud de incorporación de cambios.

Información para los desarrolladores

Otras funciones de seguridad de las aplicaciones

SEGURIDAD DE LA INFRAESTRUCTURA COMO CÓDIGO

Seguridad de la infraestructura IaC automatizada e integrada en los flujos de trabajo de desarrollo

Más información

ANÁLISIS DE COMPOSICIÓN DE SOFTWARE (SCA)

Seguridad de código abierto de precisión y basada en el contexto y cumplimiento normativo de las licencias

Más información

SEGURIDAD DE LA CADENA DE SUMINISTRO DE SOFTWARE

Refuerce sus ciclos de CI/CD, reduzca su superficie de ataque y proteja su entorno de desarrollo de aplicaciones.

Más información

SEGURIDAD DE LA INFRAESTRUCTURA COMO CÓDIGO (IaC)

Identifique y corrija errores de configuración en Terraform, CloudFormation, ARM, Kubernetes y otras plantillas de IaC.

Más información

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas