Como evitar a exposição de Credentials / Secrets em repositórios e ferramentas de colaboração
(cremit.io)Olá, pessoal do GeekNews!
Ficamos muito felizes em ver no GeekNews, que toda a nossa equipe acompanha, um texto sobre o problema que estamos resolvendo.
https://pt.news.hada.io/topic?id=13442
Houve um comentário na thread pedindo uma apresentação, então gostaríamos de mostrar o produto que construímos com muito esforço.
- Apresentação do projeto
- Oferecemos um serviço de detecção para Secret API Keys usadas na integração com diversos serviços SaaS.
- Existem muitas ferramentas como TruffleHog e GitLeaks, mas elas tendem a ser focadas em ferramentas de DevSecOps, o que traz o ponto negativo de exigir alto custo de engenharia para uso real do ponto de vista da equipe de segurança e da equipe de administração de infraestrutura. Estamos trabalhando para melhorar isso.
- Além de GitHub e GitLab, hoje também é possível expandir as integrações para Confluence, Jira, Notion e outros.
- Ajudamos sua organização a estruturar a segurança com foco em Credential (Secret, PII) e, por meio de recursos de gestão de ameaças, a entender os riscos de segurança relacionados a Credentials na organização.
- Oferecemos recursos de integração com diversos IDPs, incluindo SAML / OIDC.
- Apresentação das funcionalidades
- Oferecemos funcionalidade de detecção de Secrets. Também identificamos o status das Secret keys, como Active / Inactive, permitindo reduzir False-Positives.
- Oferecemos funcionalidade de detecção de PII. Como inclui NLP, em vez de depender apenas de Regex, consegue entender melhor o contexto e detectar exposições de dados pessoais com mais precisão.
- Oferecemos a funcionalidade de Threat Policy. Por exemplo, é possível definir um AWS Active Key em estado Active como uma ameaça High e identificar prioridades.
- Oferecemos funcionalidade de Dashboard.
- O escopo de integração se divide amplamente em dois tipos.
**Target - é possível adicionar e monitorar GitHub público e outros alvos semelhantes.
**Integration - para uso interno (Private), é possível integrar GitHub, GitLab, Confluence, Jira, Notion e outros.
- Gestão de membros
- As permissões são divididas em Administrator, Writer e Reader, permitindo a operação organizacional em um escopo amplo por organização.
- Também é possível integrar com o IDP utilizado pela organização por meio de SAML / OIDC.
- Links de referência
- Support Center - https://support.cremit.io - você pode obter ajuda por meio do sistema de tickets e da documentação.
- Status Page - https://status.cremit.io - você pode verificar o status do serviço.
- Security Center - https://security.cremit.io - você pode conferir o nível de segurança mantido pela C remit.
- Roadmap - https://releases.cremit.io
- Expansão contínua do escopo de integração - vazamentos e gestão indiscriminada de dados pessoais continuam ocorrendo em AWS S3, GCS, Azure Storage e outros. Por isso, a equipe da C remit já incluiu essa expansão no roadmap.
- Expansão contínua das funcionalidades de gestão
- As funcionalidades de gestão, conectadas ao recurso de Threat, continuarão sendo ampliadas para permitir gestão de Incident.
- Expansão contínua do escopo de detecção de Secrets - as ferramentas SaaS continuam sendo atualizadas e integradas aos dezenas por semana. Por isso, a equipe da C remit atualiza continuamente os Secret Pattern / Validation Pattern com acompanhamento constante.
- Adição de funcionalidade de gestão pelo usuário para dados PII - atualmente, o usuário poderá adicionar diretamente padrões de PII que hoje são gerenciados de forma administrada pela C remit.
- Adição de funcionalidade de validação para informações de Authentication tratadas diretamente pelo usuário
- Pretendemos adicionar recursos que permitam relacionar Secrets com informações de login de sistemas internos de Admin, backoffice e similares.
- Outras informações adicionais
- A C remit é uma empresa em estágio bem inicial, fundada em maio de 2023. Felizmente, em agosto do mesmo ano conseguimos receber um investimento seed inicial da Primer.
- Se quiser marcar uma reunião com nossa equipe, fique à vontade para solicitar pelo site a qualquer momento!
- Atualmente há um período de uso gratuito e também um Free Plan. Pedimos apenas que considere que existem algumas limitações de funcionalidade.
URL de cadastro do serviço - https://register.cremit.io
2 comentários
A maioria dessas ferramentas de detecção costuma ficar limitada ao repositório ou ao código, mas é ótimo que esta também detecte em ferramentas como Notion ou Jira.
Sim, isso mesmo! As ferramentas existentes são mais focadas em DevSecOps.
Nosso objetivo é detectar todos os locais em que credenciais podem ser expostas, como ferramentas de colaboração, drives e repositórios!
Agradecemos o interesse!