搜索

机密安全

全栈多维方法可用于在存储库和 CI/CD 管道内的所有文件中查找和保护暴露的和易受攻击的机密。

secrets-gitlab

开发人员使用机密来帮助应用安全地与其他云服务通信。在 GitHub 等版本控制系统 (VCS) 中，将机密存储在文件中并不安全，会产生潜在漏洞，这些漏洞可能会被利用。当开发人员在源代码中留下机密时，这种情况经常发生。一旦将机密提交到存储库中，此内容便会保存在历史记录中，任何用户都可以轻松访问这些机密。如果将存储库内容公开，将尤为危险，这可导致威胁攻击者很容易发现和利用这些资源。

大多数工具只在应用生命周期的其中一个阶段选择性地扫描机密，这可能会完全遗漏某些类型的机密。Cortex Cloud 可确保不会意外暴露机密内容，同时最大限度地减少误报并维持开发速度。

硬编码机密对于云原生开发来说十分常见。

硬编码凭证对开发人员来说更易于使用和访问，但不是最佳实践。这在矩阵化开发企业和基于云的存储库中尤其危险。不幸的是，这种情况已司空见惯，超过 41% 的存储库中包含机密内容。

公开曝光会增加风险。

机密内容经常会在您的 VCS 或注册表的公共存储库中发生暴露。此外，直接添加到源代码、IaC、CI/CD 配置文件等内容中的任何机密内容可能在 VCS 中可见，也可能在构建日志中意外暴露。

孤立的工具会导致覆盖漏洞。

独立的机密扫描程序通常在构建和运行时缺乏一致覆盖。如果没有嵌入到更广泛的 CNAPP 策略中，企业就会对风险了解不足。

借助 Cortex Cloud，开发人员能够无缝阻止构建和运行时的暴露机密。

通过在代码、构建、部署和运行时集成到 DevOps 工具中，Cortex Cloud 可在整个开发生命周期中持续扫描暴露的机密。Cortex Cloud 采用强大的多维方法，此方法结合了基于签名的策略库和经过微调的熵模型，可以识别几乎任何文件类型中的机密，包括 IaC 模板、黄金图像和 Git 存储库。

多种检测方法可以识别复杂机密，例如随机字符串或密码。
风险因素为机密提供了上下文，以简化优先级排序和修复。
原生集成到开发人员工具和工作流程中。

CORTEX CLOUD 解决方案

开发人员优先的机密安全多维方案

精确检测

使用正则表达式的机密（访问令牌、API 密钥、加密密钥、OAuth 令牌、证书等）是最常见的已识别内容。Cortex Cloud 利用 100 多个签名，通过可预测的已知表达式来检测大量机密并发出警报。

大量覆盖
100 多个域特定机密检测程序可确保在构建和运行时都能发出精确的警报。
广泛深入的扫描
扫描存储库中所有文件的机密以及集成中的版本历史。

Precise detection

经过微调的熵模型

不是所有机密都是一致或可识别的模式。例如，基于签名的方法检测不到随机字符串用户名和密码，因为这些内容是随机的，可能会暴露“企业机密”，让他人可以公开进行访问。Cortex Cloud 通过经过微调的熵模型增强了基于签名的检测。

经过微调的熵模型
使用微调的熵模型可消除误报，该模型利用字符串上下文来精确识别复杂的机密类型。
无与伦比的可视性
全面了解和控制云开发人员使用的大量机密。

Fine-tuned entropy model

开发人员反馈

开发人员可以通过几种不同方式分析与暴露或易受攻击的机密相关的风险：

项目
开发工作流程中的原生集成，并在不合规的文件中无缝显示检测到的机密。
供应链
供应链图中显示源代码文件节点。对依赖树的详细调查有助于开发人员识别机密暴露的根本原因。
获取请求注释
用户可以发现潜在泄露的机密，作为他们获取请求扫描的部分内容，这些内容可以轻松删除。
预提交钩连点和 CI 集成
利用预提交钩连点在打开获取请求之前阻止将机密推送到存储库。

Developer feedback

代码安全模块

基础架构即代码安全

嵌入到开发人员工作流程中的自动化 IaC 安全性

软件构成分析 (SCA)

情境感知的开源安全性和许可证合规性

软件供应链安全

软件组件和管道的端到端保护

机密安全

存储库和管道中的全栈、多维机密内容扫描。