搜尋

密碼安全性

透過完整堆疊且多面向的方法,在您的儲存庫和 CI/CD 管道中尋找及保護遭暴露和易受攻擊的密碼。
要求示範
secrets-gitlab

開發人員會使用密碼,以便透過應用程式安全地與其他雲端服務進行通訊。然而,將密碼儲存在 GitHub 等版本控制系統 (VCS) 的檔案中並不安全,因為這樣會產生潛在的弱點而遭到有心人士所利用。例如,當開發人員以原始程式碼的形式存放其密碼時,就經常會發生這樣的情況。一旦將密碼提交到儲存庫後,系統就會將其儲存在歷史記錄中,讓任何使用者都能輕易存取這些金鑰。尤其是當儲存庫內容設為公開時風險就更大,因為攻擊者很輕易地就可以找到並利用這些資源。

大部分的工具都只會選擇性地在應用程式生命週期的某個階段掃描密碼,因此可能會忽略某些類型的密碼。Cortex® Cloud 可以確保秘密不會意外遭到暴露,同時可將誤判的機率降到最低並維持開發速度。

硬式編碼的密碼對於雲端原生開發來說相當常見。

雖然硬式編碼憑證對於開發人員來說在使用及存取上相當方便,但並不是最佳實務。尤其對於矩陣型開發的企業和雲端儲存庫來說更是危險。不幸的是這樣的情況可以說是司空見慣,有超過 41% 的儲存庫都存放著密碼。

公開暴露會擴大風險。

密碼通常會暴露在 VCS 或登錄的公用儲存庫中。此外,任何直接新增至原始程式碼、IaC、CI/CD 設定檔案等位置的密碼都有可能顯示在 VCS 中,或是意外暴露於組建日誌。

孤立的工具造成涵蓋範圍落差。

在組建和執行階段中,獨立的密碼掃描器通常缺乏一致的涵蓋範圍。若未嵌入更廣泛的 CNAPP 策略,企業將無法全盤掌握任何可能的風險。

Cortex Cloud 讓開發人員可以透過無縫方式預防組建和執行階段中的秘密遭到暴露。

Cortex Cloud 會整合 DevOps 工具與程式碼、組建、部署和執行階段,以持續掃描在整個開發生命週期中暴露的秘密。在透過強大的多面向方法結合以特徵碼為基礎的政策庫與微調的熵模式後,Cortex Cloud 就可以在 IaC 範本、黃金映像和 Git 儲存庫的幾乎任何檔案類型中識別秘密。
  • 多個偵測方法可識別隨機字串或密碼等複雜的秘密訊息。
  • 風險因子會提供密碼相關脈絡來簡化優先順序排定和補救。
  • 與開發人員工具和工作流程的原生整合。
  • 100 多個特徵碼庫。
    100 多個特徵碼庫。
  • 微調的熵模式。
    微調的熵模式。
  • 供應鏈視覺化。
    供應鏈視覺化。
  • 廣泛的涵蓋範圍。
    廣泛的涵蓋範圍。
  • VCS 和 CI 管道中的偵測預先交付。
    VCS 和 CI 管道中的偵測預先交付。
  • 執行中工作負載和應用程式中的偵測。
    執行中工作負載和應用程式中的偵測。
解決方案

開發人員優先、多面向的密碼安全性

精確偵測

使用規則運算式的密碼 (存取權杖、API 金鑰、加密金鑰、OAuth 權杖,以及憑證等等) 是最常見的類型。Cortex Cloud 會利用超過 100 個特徵碼並透過已知、可預測的運算式來偵測各式各樣的秘密並發出警示。

  • 廣泛的涵蓋範圍

    超過 100 個網域特定密碼偵測器可確保組建和執行階段中的精準警示。

  • 廣泛和深入的掃瞄

    在儲存庫的所有檔案和各種整合的版本歷史記錄中掃描密碼。

精確偵測

微調的熵模式

並非所有密碼都是採用一致或可識別的模式。例如,以特徵碼為基礎的方法可能就偵測不到隨機字串使用者名稱和密碼,因為這些都是採用隨機形式、可能暴露「天國之鑰」以及可公開存取的訊息。Cortex Cloud 可以透過微調的熵模式來增強以特徵碼為基礎的偵測。

  • 微調的熵模式

    微調的熵模式可利用字串脈絡精準地識別複雜的密碼類型,因此可避免誤判。

  • 無與倫比的可視性

    雲端開發人員可能會在廣泛的情境中使用密碼,因此可透過該模式來取得全面的可視性和控制。

微調的熵模式

開發人員意見反應

開發人員可透過幾種不同方式來分析與遭暴露或易遭破解密碼有關的風險:

  • 專案

    開發工作流程中的原生整合,以及在不合規的檔案中無縫地顯示偵測的密碼。

  • 供應鏈

    供應鏈圖形會顯示原始程式碼檔案節點。對於相依性樹狀結構的詳細調查可協助開發人員識別密碼暴露的根本原因。

  • 提取要求註解

    使用者可在其提取要求掃描中找出可能洩露的密碼,並可輕鬆地將其移除。

  • 預先交付的勾點和 CI 整合

    利用預先交付勾點封鎖密碼以避免在開啟提取要求之前將就其推送至儲存庫。

開發人員意見反應

其他應用程式安全功能

基礎結構即程式碼安全性

自動化的 IaC 安全性已嵌入開發人員工作流程

進一步了解

軟體組成分析 (SCA)

準確度高的脈絡感知開放原始碼安全性和授權合規性

進一步了解

軟體供應鏈安全性

強化您的 CI/CD 管道、縮小攻擊範圍並保護您的應用程式開發環境。

進一步了解

基礎結構即程式碼 (IaC) 安全性

在 Terraform、CloudFormation、ARM、Kubernetes 和其他 IaC 範本中識別及修正錯誤設定

進一步了解

取得最新資訊、活動邀請,以及威脅警示