Le volume de secrets exposés dans les dépôts de code source des entreprises est considérable. GitGuardian sonne l’alerte !
Les 5 recommandations pour une approche « Zero Secret dans le code »
Les équipes AppSec ne peuvent plus gérer seules la fuite des secrets et ont besoin des équipes de développement. Dans le contexte du développement de logiciels, les secrets font référence à des clés d’authentification numérique qui permettent d’accéder à des systèmes ou données. Il s’agit le plus souvent de clés API, de noms d’utilisateur et de mots de passe, ou de certificats de sécurité.
Le volume des secrets codés en dur bouleverse la capacité de remédiation des équipes de sécurité et impacte le processus de transition vers le DevSecOps.
Augmentation du phénomène de la fuite des secrets
La surveillance de GitHub public par GitGuardian révèle un « doublement du nombre de secrets exposés, atteignant un peu plus de 6 millions en 2021 ».
Selon une étude sur Docker Hub, « 4,6% des images disponibles publiquement exposent au moins un secret ».
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental
Les recommandations pour une politique « Zero Secret dans le Code »
Comment mettre l’accent sur la prévention collaborative ? Avec plus de discipline, d’éducation et les bons outils, la situation peut s’améliorer.
La détection des incidents et la remédiation peuvent être déplacées à différents niveaux pour une défense en couches au cours du cycle de développement.
Découvrez l’approche progressive de GitGuardian pour une politique « zéro secret dans le code »
- Commencer par surveiller les commits et les demandes de merge/pull en temps réel
pour tous les dépôts avec une intégration VCS ou CI native, où se trouve la menace ultime
- Activer progressivement les contrôles pre-receive
pour protéger les dépôts centralisés contre les fuites et « arrêter l’hémorragie ».
- Sensibiliser les utilisateurs à l’utilisation des contrôles pre-commit
comme ceinture de sécurité.(shift left au niveau du développeur).
- Planifier une stratégie à plus long terme
pour traiter les incidents plus anciens découverts par l’analyse de l’historique git.
- Mettre en œuvre un programme de champion sécurité des secrets.
Selon Jérémy Thomas, CEO de GitGuardian « Le développement et la mise à disposition d’applications sécurisées doivent être une responsabilité partagée entre les équipes Dev, Sec et Cloud Ops. Les développeurs, en particulier, veulent avoir “un allié” à chaque étape du cycle de développement pour les aider à écrire un code plus sûr sans nuire à leur productivité. Et comme définir les menaces et suivre le rythme des technologies utilisées par les développeurs sera toujours une bataille sans fin, nous avons déjà posé les bases d’un cadre de sécurité du code puissant et flexible qui peut être étendu rapidement pour adresser une grande variété de vulnérabilités ».
Source Rapport de GitGuardian « State of Secrets Sprawl 2022 ».
Le moteur de détection des secrets de GitGuardian est en production depuis 2017, analysant des milliards de commits provenant de GitHub. GitGuardian a développé une vaste bibliothèque de détecteurs spécifiques, capable de détecter plus de 350 types de secrets différents.
Les articles les plus consultés
- Activer la mise en veille prolongée dans Windows 10
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Et si les clients n’avaient plus le choix ?
- Afficher les icônes cachées dans la barre de notification
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
Les plus consultés sur iTPro.fr
- Finance : l’IA générative plébiscitée pour les décisions stratégiques
- Cybersécurité : les comportements à risque des collaborateurs
- Prédictions 2025 : voici comment l’intelligence artificielle va redéfinir la sécurité de 3 façons
- Top 5 des technologies à suivre en 2025 et au-delà !
- Simplifier la mise en réseau Cloud avec Aviatrix