> Tech > Les 5 recommandations pour une approche « Zero Secret dans le code »

Les 5 recommandations pour une approche « Zero Secret dans le code »

Tech - Par Sabine Terrey - Publié le 04 mars 2022
email

Le volume de secrets exposés dans les dépôts de code source des entreprises est considérable. GitGuardian sonne l’alerte !

Les 5 recommandations pour une approche « Zero Secret dans le code »

Les équipes AppSec ne peuvent plus gérer seules la fuite des secrets et ont besoin des équipes de développement. Dans le contexte du développement de logiciels, les secrets font référence à des clés d’authentification numérique qui permettent d’accéder à des systèmes ou données. Il s’agit le plus souvent de clés API, de noms d’utilisateur et de mots de passe, ou de certificats de sécurité.

Le volume des secrets codés en dur bouleverse la capacité de remédiation des équipes de sécurité et impacte le processus de transition vers le DevSecOps.

Augmentation du phénomène de la fuite des secrets

La surveillance de GitHub public par GitGuardian révèle un « doublement du nombre de secrets exposés, atteignant un peu plus de 6 millions en 2021 ».

Selon une étude sur Docker Hub, « 4,6% des images disponibles publiquement exposent au moins un secret ».

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental

Les recommandations pour une politique « Zero Secret dans le Code »

Comment mettre l’accent sur la prévention collaborative ? Avec plus de discipline, d’éducation et les bons outils, la situation peut s’améliorer.

La détection des incidents et la remédiation peuvent être déplacées à différents niveaux pour une défense en couches au cours du cycle de développement.

Découvrez l’approche progressive de GitGuardian pour une politique « zéro secret dans le code »

  • Commencer par surveiller les commits et les demandes de merge/pull en temps réel

pour tous les dépôts avec une intégration VCS ou CI native, où se trouve la menace ultime

  • Activer progressivement les contrôles pre-receive

pour protéger les dépôts centralisés contre les fuites et « arrêter l’hémorragie ».

  • Sensibiliser les utilisateurs à l’utilisation des contrôles pre-commit

comme ceinture de sécurité.(shift left au niveau du développeur).

  • Planifier une stratégie à plus long terme

pour traiter les incidents plus anciens découverts par l’analyse de l’historique git.

  • Mettre en œuvre un programme de champion sécurité des secrets.

 

Selon Jérémy Thomas, CEO de GitGuardian « Le développement et la mise à disposition d’applications sécurisées doivent être une responsabilité partagée entre les équipes Dev, Sec et Cloud Ops. Les développeurs, en particulier, veulent avoir “un allié” à chaque étape du cycle de développement pour les aider à écrire un code plus sûr sans nuire à leur productivité. Et comme définir les menaces et suivre le rythme des technologies utilisées par les développeurs sera toujours une bataille sans fin, nous avons déjà posé les bases d’un cadre de sécurité du code puissant et flexible qui peut être étendu rapidement pour adresser une grande variété de vulnérabilités ».

 

 

 

Source Rapport de GitGuardian « State of Secrets Sprawl 2022 ».

Le moteur de détection des secrets de GitGuardian est en production depuis 2017, analysant des milliards de commits provenant de GitHub. GitGuardian a développé une vaste bibliothèque de détecteurs spécifiques, capable de détecter plus de 350 types de secrets différents.

 

Tech - Par Sabine Terrey - Publié le 04 mars 2022