机密安全

全栈多维方法可用于在存储库和 CI/CD 管道内的所有文件中查找和保护暴露的和易受攻击的机密。
secrets-gitlab

开发人员使用机密来帮助应用安全地与其他云服务通信。在 GitHub 等版本控制系统 (VCS) 中,将机密存储在文件中并不安全,会产生潜在漏洞,这些漏洞可能会被利用。当开发人员在源代码中留下机密时,这种情况经常发生。一旦将机密提交到存储库中,此内容便会保存在历史记录中,任何用户都可以轻松访问这些机密。如果将存储库内容公开,将尤为危险,这会导致威胁攻击者很容易发现和利用这些资源。

大多数工具只在应用生命周期的其中一个阶段选择性地扫描机密,这样可能会完全遗漏某些类型的机密。Cortex® Cloud 可确保不会意外暴露机密内容,同时最大限度地减少误报并维持开发速度。

借助 Cortex Cloud,开发人员能够无缝阻止构建和运行时的暴露机密。

通过在代码、构建、部署和运行时集成到 DevOps 工具中,Cortex Cloud 可在整个开发生命周期中持续扫描暴露的机密。Cortex Cloud 采用强大的多维方法,此方法结合了基于特征的策略库和经过微调的熵模型,可以识别几乎任何文件类型中的机密,包括 IaC 模板、黄金图像和 Git 存储库。
  • 多种检测方法可以识别复杂机密,例如随机字符串或密码。
  • 风险因素为机密提供了上下文,以简化优先级排序和修复。
  • 原生集成到开发人员工具和工作流程中。
  • 100 个以上的签名库。
    100 个以上的签名库。
  • 经过微调的熵模型。
    经过微调的熵模型。
  • 供应链可视性。
    供应链可视性。
  • 广泛覆盖。
    广泛覆盖。
  • 检测 VCS 和 CI 管道中的预提交。
    检测 VCS 和 CI 管道中的预提交。
  • 检测运行中的工作负载和应用。
    检测运行中的工作负载和应用。
解决方案

开发人员优先的机密安全多维方案

精确检测

使用正则表达式的机密(访问令牌、API 密钥、加密密钥、OAuth 令牌、证书等)是最常见的已识别内容。Cortex Cloud 利用 100 多个特征,通过可预测的已知表达式来检测大量机密并发出警报。

  • 大量覆盖

    100 多个域特定机密检测程序可确保在构建和运行时都能发出精确的警报。

  • 广泛深入的扫描

    扫描存储库中所有文件的机密以及集成中的版本历史。

精确检测

经过微调的熵模型

不是所有机密都是一致或可识别的模式。例如,基于签名的方法检测不到随机字符串用户名和密码,因为这些内容是随机的,可能会暴露“企业机密”,让他人可以公开进行访问。Cortex Cloud 利用经过微调的熵模型增强了基于特征的检测。

  • 经过微调的熵模型

    使用微调的熵模型可消除误报,该模型利用字符串上下文来精确识别复杂的机密类型。

  • 无与伦比的可视性

    全面了解和控制云开发人员使用的大量机密。

经过微调的熵模型

开发人员反馈

开发人员可以通过几种不同方式分析与暴露或易受攻击的机密相关的风险:

  • 项目

    开发工作流程中的原生集成,并在不合规的文件中无缝显示检测到的机密。

  • 供应链

    供应链图中显示源代码文件节点。对依赖树的详细调查有助于开发人员识别机密暴露的根本原因。

  • 获取请求注释

    用户可以发现潜在泄露的机密,作为他们获取请求扫描的部分内容,这些内容可以轻松删除。

  • 预提交钩连点和 CI 集成

    利用预提交钩连点在打开获取请求之前阻止将机密推送到存储库。

Developer feedback

更多应用程序安全功能

基础架构即代码安全

嵌入到开发人员工作流程中的自动化 IaC 安全性

软件构成分析 (SCA)

高度准确和情境感知的开源安全性和许可证合规性

软件供应链安全

强化您的 CI/CD 管道、减少攻击面并保护您的应用程序开发环境。

基础设施即代码 (IaC) 安全

识别并修复 Terraform、CloudFormation、ARM、Kubernetes 和其他 IaC 模板中的错误配置