Suchen

Schutz von Secrets

Dieser mehrdimensionale Ansatz ermöglicht Ihnen, öffentlich zugängliche und gefährdete Secrets in allen Dateien in Ihren Repositorys und CI/CD-Pipelines zu finden und zu schützen.
Kostenlose Testversion anfordern
secrets-gitlab
secrets-projects

Damit Anwendungen sicher mit anderen Cloud-Services kommunizieren können, nutzen Entwickler Secrets. Solche Secrets in einer Datei in Systemen für die Versionskontrolle (VCS) wie GitHub zu speichern, ist allerdings keine sichere Methode. Vielmehr entstehen dadurch mögliche Sicherheitslücken, die ausgenutzt werden können. Dies passiert oft, wenn die Entwickler Secrets im Quellcode lassen. Gelangt ein Secret auf diesem Weg erst einmal in ein Repository, wird es in dessen Verlauf gespeichert und ist für jeden Benutzer leicht zugänglich. Das ist besonders riskant, wenn die Inhalte des Repositorys veröffentlicht werden, wodurch Angreifer Secrets leicht finden und ausnutzen können.

Die meisten Tools scannen nur selektiv in einer Phase des Anwendungslebenszyklus auf Secrets und können bestimmte Arten von Secrets völlig übersehen. Prisma® Cloud hingegen kann sicherstellen, dass kein Secret versehentlich preisgegeben wird, wobei die Menge an False-Positives-Meldungen minimal ist und die Entwicklungsgeschwindigkeit beibehalten wird.

1

In der cloudnativen Entwicklung ist die Hartcodierung von Anmeldedaten gängige Praxis.

Entwicklern erleichtert dies zwar deren Nutzung und den Zugriff darauf, aber die Hartcodierung von Secrets gehört nicht zu den Best Practices. Besonders gefährlich ist sie bei matrixbasierter Entwicklung und in cloudbasierten Repositorys. Dennoch ist dieser Ansatz gang und gäbe – über 41 % der Repositorys enthalten Secrets.
2

Die öffentliche Preisgabe vergrößert das Risiko.

Dies geschieht oft über öffentliche Repositorys im VCS oder in der Registry. Außerdem kann jedes Secret, das direkt in Quellcode, IaC, CI/CD-Konfigurationsdateien usw. eingegeben wird, in einem VCS sichtbar sein oder versehentlich in Build-Protokollen erscheinen.
3

Isolierte Tools führen zu Abdeckungslücken.

Eigenständige Secret-Scanner decken die Entwicklungs- und Laufzeitumgebungen oft nicht konsistent ab. Ohne Einbindung in eine breiter angelegte CNAPP-Strategie erhalten Unternehmen dadurch ein unvollständiges Bild der Risikolage.

Prisma Cloud macht es Entwicklern ganz einfach, die Preisgabe von Secrets in Entwicklungs- und Laufzeitumgebungen zu verhindern.

Durch die Einbindung in DevOps-Tools scannt Prisma Cloud während des gesamten Entwicklungslebenszyklus über Programmierung, Entwicklung, Implementierung und Laufzeit hinweg laufend auf Secrets, die an die Öffentlichkeit gelangen könnten. Mit einem leistungsfähigen mehrdimensionalen Ansatz, der eine signaturbasierte Richtlinienbibliothek mit einem fein abgestimmten Entropiemodell kombiniert, identifiziert Prisma Cloud Secrets in nahezu jedem Dateityp, von IaC-Vorlagen über Golden Images bis hin zu Git-Repositorys.
  • Eine Kombination mehrerer Erkennungsmethoden identifiziert auch komplexe Secrets, wie zufällige Zeichenfolgen oder Kennwörter.
  • Risikofaktoren stellen Kontext für die Priorisierung und Beseitigung der Secrets bereit.
  • Native Integration in Entwicklungstools und Arbeitsabläufe
  • 100+ signature library.
    Bibliothek mit > 100 Signaturen
  • Fine-tuned entropy model.
    Fein abgestimmtes Entropiemodell
  • Supply chain visualization.
    Visualisierung der Lieferkette
  • Broad coverage.
    Breite Abdeckung
  • Detection pre-commit in VCS and CI pipelines.
    Erkennung vor der Weitergabe an VCS und CI-Pipelines
  • Detection in running workloads and apps.
    Erkennung in laufenden Workloads und Apps
PRISMA CLOUD

Ein entwicklerfreundlicher, mehrdimensionaler Ansatz für den Schutz von Secrets

Genaue Erkennung

Am häufigsten werden Secrets gefunden, die reguläre Ausdrücke – Zugriffstoken, API-Schlüssel, Verschlüsselungsschlüssel, OAuth-Token, Zertifikate usw. – enthalten. Prisma Cloud nutzt über 100 Signaturen, um ein breites Spektrum von Secrets mit bekannten, vorhersehbaren Ausdrücken zu erkennen und zu melden.

  • Umfassende Abdeckung

    Über 100 domainspezifische Erkennungsfunktionen für Secrets stellen eine präzise Benachrichtigung sowohl während der Entwicklung als auch der Laufzeit sicher.

  • Breitere und tiefergehende Scans

    Alle Dateien in Ihren Repositorys und die gesamte Versionshistorie in allen Integrationen werden nach Secrets durchsucht.

Precise detection

Fein abgestimmtes Entropiemodell

Secrets basieren nicht unbedingt auf konsistenten oder identifizierbaren Mustern. Zum Beispiel können signaturbasierte Methoden Benutzernamen und Kennwörter, die aus zufälligen Zeichenfolgen bestehen, aufgrund dieser Zufälligkeit nicht erkennen, sodass diese „Schlüssel zum Himmelreich“ möglicherweise auch nach einem Scan weiterhin öffentlich zugänglich sind. Aus diesem Grund ergänzt Prisma Cloud die signaturbasierte Erkennung mit einem fein abgestimmten Entropiemodell.

  • Fein abgestimmtes Entropiemodell

    Mit einem fein abgestimmtem Entropiemodell, das mithilfe des Kontexts von Zeichenfolgen auch komplexe Secret-Typen genau erkennt, werden False Positives wirksam eliminiert.

  • Beispiellose Transparenz

    Selbst in komplexen cloudbasierten Entwicklungsumgebungen lassen sich Secrets aufspüren und schützen.

Fine-tuned entropy model

Feedback von Entwicklern

Entwicklern stehen verschiedene Möglichkeiten zur Analyse der Risiken zur Verfügung, die mit ungeschützten oder gefährdeten Secrets verbunden sind:

  • Projekte

    Native Integrationen in Entwicklungsabläufe und nahtlose Erkennung von Secrets in nicht vorschriftenkonformen Dateien

  • Lieferkette

    Das Lieferkettendiagramm zeigt die Knotenpunkte der Quellcodedateien an. Durch eine genaue Untersuchung der verzweigten Abhängigkeiten können Entwickler die Ursache der Preisgabe feststellen.

  • Kommentare zu Pull-Anfragen

    Benutzer können im Rahmen ihrer Scans von Pull-Anfragen Secrets erkennen, die möglicherweise preisgegeben wurden. Diese Schwachstellen können dann leicht behoben werden.

  • Pre-Commit-Hooks und CI-Integrationen

    Mit dem Pre-Commit-Hook kann die Push-Übertragung von Secrets in ein Repository blockiert werden, bevor eine Pull-Anforderung geöffnet wird.

Developer feedback

Teil der CNAPP

Die einzige Möglichkeit, beim Schutz cloudnativer Anwendungen eine vollständige Abdeckung zu erreichen, ist die Einbindung von Secrets-Scans auf jeder Ebene und bei jedem Schritt des Entwicklungslebenszyklus. Das Secrets-Modul von Prisma Cloud kann mit einem einzigen Klick aktiviert werden und ist eine von vielen Komponenten der branchenweit umfassendsten cloudnativen Plattform für den Anwendungsschutz.

  • Erkennung von Secrets entlang der gesamten Lieferkette

    Überprüfen Sie Repositorys wie GitHub und Registrys wie Docker, Quay, Artifactory u. a. auf öffentlich zugängliche Secrets.

  • Verhinderung der Preisgabe von Secrets während der Laufzeit

    Umfassende Transparenz von der Codeerstellung bis zur Cloud-Nutzung sorgt dafür, dass offengelegte Secrets in laufenden Workloads und Cloud-Ressourcen mit Laufzeitrichtlinien aufgedeckt werden.

Part of the CNAPP

Module für die Codesicherheit

IAC-SICHERHEIT

Integration automatisierter IaC-Sicherheitsfunktionen in die Arbeitsabläufe der Entwickler

Mehr dazu

SOFTWARE COMPOSITION ANALYSIS (SCA)

Kontextbasierte Sicherheitsmaßnahmen für Open-Source-Software und Compliance mit Lizenzvorgaben

Mehr dazu

SICHERHEIT IN DER SOFTWARELIEFERKETTE

Umfassender Schutz von Softwarekomponenten und Pipelines

Mehr dazu

SCHUTZ VON SECRETS

Mehrdimensionale Secrets-Scans für den gesamten Stack in Repositorys und Pipelines

Mehr dazu
ERGÄNZENDE RESSOURCEN

Nützliche Dokumente zur Codesicherheit

Alle Ressourcen anzeigen
DATENBLATT

Schutz von Secrets

Herunterladen
WHITEPAPER

Checkliste zum Schutz von Secrets

Herunterladen
ANALYSTENBERICHT

GigaOm Radar for Developer Security Tools

Herunterladen
WEBINARAUFZEICHNUNG

Produktdemo: Schutz von Secrets

Jetzt ansehen
DATENBLATT

Codesicherheit

Herunterladen

Kundenberichte

Erfahren Sie, wie Pokémon, Sabre und ElevenPaths mit Prisma Cloud den gesamten Lebenszyklus und alle Technologien schützen.

Grundlagen der Cloud-Sicherheit

Informieren Sie sich über aktuelle DevSecOp-Trends und sichern Sie sich praktische Empfehlungen von Entwicklern, Branchenführern und Sicherheitsexperten.

Aktuelle Blogbeiträge

Es warten viele interessante Beiträge auf Sie, doch wir empfehlen, als Erstes den Artikel über Containersicherheit durch die Zuordnung von Kubernetes-Clustern zu lesen.

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen.

Beliebte Ressourcen

Rechtliche Hinweise

Häufig genutzte Ressourcen

Sicherheitslücke melden

Copyright © Palo Alto Networks 2024. Alle Rechte vorbehalten.