[15/03/2023] ReversingLabs ha añadido nuevas funciones de detección de secretos a su herramienta de seguridad de la cadena de suministro de software (SSCS, por sus siglas en inglés) para ayudar a los desarrolladores a priorizar la corrección con datos contextuales sobre secretos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
En un entorno de desarrollo, los secretos se refieren a credenciales de autenticación digital utilizadas en componentes de software, incluidas credenciales de inicio de sesión, tokens de API y claves de cifrado.
"Estamos utilizando nuestro conocimiento de los secretos expuestos en los miles de millones de archivos que hemos analizado previamente para proporcionar ese contexto", sostuvo Tomislav Pericin, cofundador y arquitecto jefe de software de ReversingLabs. "Por ejemplo, los secretos comúnmente compartidos utilizados para probar componentes de código abierto que han sido públicos durante años no son secretos, así que por qué decir a los desarrolladores que los arreglen".
Aunque es esencial para el correcto funcionamiento de un software, el manejo eficaz de los secretos a través de todas las partes del código, así como durante varias etapas como el Ciclo de Vida de Desarrollo de Software y la Integración Continua y Entrega Continua (CI/CD), a veces puede ser difícil y puede conducir a la exposición inadvertida de secretos.
A principios del 2021, CircleCI y CodeCov -dos importantes plataformas de integración y entrega continuas basadas en la nube- sufrieron brechas que pusieron en peligro datos de usuarios, incluidas variables de entorno y tokens de API. Los incidentes pusieron de relieve la importancia de los secretos expuestos y llevaron a varias organizaciones a restablecer sus tokens de API y tomar otras medidas de seguridad para proteger sus aplicaciones y datos.
Problema de los falsos positivos en la detección de secretos
Las herramientas de detección de secretos existentes están inundando a los desarrolladores con enormes cantidades de falsos positivos, lo que hace que pasen por alto las detecciones en lugar de triarlas y solucionarlas, según la empresa.
El principio básico utilizado en el sistema de detección de secretos de ReversingLabs es que el análisis eficaz de secretos sólo es posible cuando se puede aplicar automáticamente un contexto adicional para determinar si un secreto detectado merece el esfuerzo de corrección.
La herramienta SSCS de ReversingLabs afirma cubrir 250 tipos de secretos, incluidas claves privadas, control de versiones, certificados, tokens, etc. Tras la detección, la herramienta permite a los equipos verificar rápidamente los secretos descubiertos como verdaderos positivos, señalar su ubicación exacta, identificar los servicios afectados y comprobar si estos secretos también están expuestos o se han filtrado en otros lugares.
La priorización ayuda a reducir la fatiga de la reparación
La solución se centra en priorizar los esfuerzos de reparación suprimiendo los secretos compartidos habitualmente, como claves de terceros, de código abierto y de pruebas, reduciendo así la carga de la clasificación manual.
"El statu quo con los secretos es detectar muchos elementos y esperar que alguien tenga tiempo para triarlos y remediarlos. Esto no es sostenible cuando las grandes versiones de software pueden contener miles de secretos", añadió Pericin. "Nuestra solución es diferente porque el enfoque de la mayoría de nuestras nuevas capacidades es eliminar el ruido de la detección de secretos con triaje automatizado".
Además de la priorización contextual, la solución de ReversingLabs aplica la gestión de secretos "just in time", la gestión de tokens y políticas de detección personalizadas. Mientras que la gestión de secretos "just in time" y "canary token" permite resolver las detecciones a tiempo, las políticas de detección personalizadas ayudan a lograr un control preciso de las reglas de detección.
La solución también proporciona el contexto histórico de un secreto detectado, destacando si el secreto ya ha sido expuesto, y si o cuando para subrayar el nivel de riesgo asociado con otros falsos positivos no accionables.
La función de detección de secretos ya está disponible en la herramienta SSCS de ReversingLabs a través de la interfaz de línea de comandos sin costos adicionales.
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú