zabezpečení zdrojového kódu před ztrátou nebo krádeží bylo historicky náročné kvůli nedostatku dostupných možností zabezpečení pro efektivní zabezpečení bez ovlivnění produktivity vývojářů. Pro mnoho podniků, jejich zdrojový kód je mimořádně cenným aktivem, aby umožnil produktivitu, musí být zkopírován do koncových bodů pro vývojáře ve formátech prostého textu, takže je obtížné udržet toto cenné aktivum zabezpečené a monitorované.
SecureCircle ‚ s Data Access Security Broker (DASB) je jednoduchá a spolehlivá bezpečnostní architektura, která umožňuje zákazníkům zabezpečit zdrojový kód v koncovém bodě, aniž by to ovlivnilo vývojáře v práci. DASB chrání před hrozbou zasvěcených osob i náhodnou ztrátou dat bez omezení vývojářů na konkrétní IDE nebo nástroje pro vytváření.
při nasazení v konfiguraci osvědčených postupů může SecureCircle zabezpečit zdrojový kód na koncových bodech, aniž by vývojové týmy musely měnit způsob, jakým pracují nebo interagují s kódem, IDE a vývojovými nástroji. To se zaměřuje na osvědčené postupy SecureCircle pro zabezpečení zdrojového kódu ve vývojových prostředích.
Architektura vysoké úrovně
nejběžnějším přístupem ke správě a práci se zdrojovým kódem je využití jednoho nebo více úložišť kódů, které jsou považovány za zdroj pravdy pro daný vývojový projekt. Repozitáře kódu poskytují funkce, které zjednodušují správu různých verzí kódu, větví a vydání.
ve vývojových prostředích je běžnou praxí, že vývojáři kopírují kód na své koncové body (Mac/PC/Linux) pomocí pull request nebo checkout procesu. Tato operace checkout nebo pull umožňuje vývojářům přístup k přesunu kódu přímo do místního koncového bodu pro nejrychlejší a nejspolehlivější vývojový zážitek při práci s kódem.
SecureCircle zajišťuje zdrojový kód je trvale zašifrován, když se přesune do koncového bodu vývojářů bez dopadu na vývojáře a jejich nástroje, takže podniky vždy zůstávají pod kontrolou svého zdrojového kódu bez ohledu na to, kde je Kód umístěn.
zabezpečení zdrojového kódu v koncovém bodě
když byl SecureCircle nakonfigurován podle osvědčených postupů, zdrojový kód je zabezpečen při přechodu z úložiště kódu do koncových bodů vývojáře. Konkrétně klientský proces (např. git, svn) v systému vývojářů je nakonfigurován jako Bezpečný proces. Když zabezpečený proces kopíruje nebo zapisuje soubory zdrojového kódu do koncového bodu vývojáře, Agent SecureCircle zajišťuje, že zdrojový kód v souborech je šifrován po celou dobu a zůstává zabezpečen i při použití.
další vrstvou zabezpečení doporučenou SecureCircle je použití SSH jako přenosového protokolu pro všechny požadavky pull z úložiště kódu. Nejen, že to zajistí, že zdrojový kód je šifrován v tranzitu, ale také umožňuje přidanou vrstvu zabezpečení tím, že umožňuje soukromý soubor SSH klíče na koncových bodech vývojářů, které mají být spravovány SecureCircle. Zabezpečením klíče pomocí SecureCircle lze při deaktivaci uživatele nebo zařízení zrušit přístup ke zdrojovému kódu v koncovém bodě i přístup k úložišti v síti. Když je přístup ke kódu zrušen, již jej nelze číst v koncovém bodě žádným procesem. Podobně koncový bod již nebude moci provádět požadavky na úložiště, protože SSH klíč, který uděluje přístup k úložišti kódu, je také nečitelný. Veškerý zabezpečený zdrojový kód na koncových bodech vývojáře je sledován. Když se aplikace a proces pokusí o přístup ke zdrojovému kódu, mohou být pokusy o akce přihlášeny do SIEM pro další analýzu.
povolení přístupu ke zdrojovému kódu v koncovém bodě
zdrojový kód v souborech, které byly zkontrolovány schváleným vývojářem ve schváleném koncovém bodě schváleným procesem, jsou vždy uchovávány v šifrovaném stavu. Nejen, že je Kód vždy zašifrován, pouze schválené IDE a kompilátory mají přístup ke kódu v rámci souboru jiné procesy v koncovém bodě vývojářů nemohou přistupovat k prosté textové verzi zdrojového kódu, pokud není výslovně schváleno.
když schválený IDE otevře zdrojový kód, přečte prostý text, ale soubor není nikdy dešifrován. Zdrojový kód je však udržován v rámci IDE a dalších schválených procesů, jako jsou alternativní IDE. Kompilátory mohou být také schválené aplikace a číst prostý text v rámci zabezpečeného souboru tak, aby kompilovaný kód může být úspěšný bez jakékoli změny v normálním pracovním postupu vývojářů nebo změny v nástrojích pro sestavení.
Obecně platí, že když procesy, které spotřebovávají data, běží na koncovém bodě, jsou buď považovány za povolený proces, který uděluje oprávnění ke čtení obsahu v souborech, nebo za Odepřený proces, v takovém případě jsou nuceni číst šifrovanou verzi bajtů. Transportní nástroje, jako je Průzkumník windows, vyhledávač Mac, E-mailoví klienti a klienti synchronizace souborů (např. Dropbox) se doporučuje odmítnout procesy, což znamená, že tyto procesy mohou přenášet zabezpečené soubory, ale nikdy nečtou obsah prostého textu.
zabezpečení zdrojového kódu ve schránce
je běžné používat schránku v operačním systému k přesunu dat z jednoho umístění do druhého. Při vývoji zdrojového kódu je schopnost kopírovat a vkládat důležitý nástroj pro produktivitu. S SecureCircle, vývojáři mohou volně kopírovat a vkládat v rámci povolených procesů a mezi nimi. Pokud se však vývojář pokusí vložit kód z povoleného procesu do Odepřeného procesu, bude operace blokována. Řízením kopírování a vkládání tímto způsobem může být zdrojový kód blokován před exfiltrací do neschválených aplikací a procesů, které jsou považovány za vysoká rizika, jako jsou E-mailoví klienti nebo webové prohlížeče.
zabezpečení nově vytvořeného a odvozeného zdrojového kódu
jsou-li vytvořeny nové soubory zdrojového kódu, mohou být ve výchozím nastavení zabezpečeny jako součást zabezpečeného procesu, který zajišťuje každý nový vytvořený soubor, nebo mohou být zabezpečeny na základě obsahu kódu, který je derivátem zdrojového kódu, který byl dříve zabezpečen SecureCircle.
povolením Secure derivation budou zjištěny podobnosti v datech napříč soubory. Když je vytvořen nový soubor s podobným obsahem jako existující soubor, bude automaticky zabezpečen stejnými zásadami jako původní soubor a transparentně šifrován, aby se zabezpečení mohlo pohybovat s daty. Je-li zdrojový kód zkopírován z jednoho souboru do druhého v rámci povoleného procesu, Secure derivát zajišťuje soubor, který obdrží tento kód zdědí bezpečnost souboru, který obsahoval původní kód.
kontrola zdrojového kódu do repozitáře
při kontrole kódu zpět do repozitáře kódu lze proces na koncových bodech vývojáře Nastavit jako povolený proces, který odstraní šifrování z bajtů ve zdrojovém kódu při odesílání do repozitáře kódu. Soubory zdrojového kódu jsou šifrovány v tranzitu přes SSH, ale pak jsou uloženy ve formátu prostého textu v rámci úložiště zdrojového kódu, který umožňuje standardní nástroje na straně serveru v rámci úložiště kódu, aby i nadále fungovat podle očekávání. Když vývojář zkontroluje kód v budoucnu, bude zabezpečen podle původní metody popsané výše. SecureCircle doporučuje implementovat bezpečnostní kontroly v úložišti, aby se doplnil pracovní postup kódu popsaný v tomto whitepaperu.
zrušení přístupu ke zdrojovému kódu
v případě, že je třeba zrušit přístup ke zdrojovému kódu, SecureCircle umožňuje zakázat přístup ke zdrojovému kódu na koncových bodech uživatelem, skupinou nebo zařízením.
pokud je přístup k datům zakázán, data již nejsou přístupná uživateli, skupině nebo zařízení, které se účastní, bez ohledu na to, kde jsou data umístěna. Pokusy o přístup ke zdrojovému kódu na zařízení, které bylo zrušeno, budou zamítnuty a tyto pokusy budou zaznamenány. Kromě toho bude také zrušena možnost kopírovat zdrojový kód z úložiště, protože soubor soukromého klíče SSH již nebude přístupný klonovacímu procesu v koncovém bodě vývojářů. Odstranění přístupu ke zdrojovému kódu může být účinné během několika sekund na základě konfigurace nastavení time to live (TTL) v rámci služby SecureCircle. Nakonec bude zrušen přístup k dalším kopiím nebo derivátům i v případě, že byly zkopírovány na vyměnitelná média.
závěr
SecureCircle umožňuje podnikům vytvářet pracovní postupy, které automaticky zabezpečují data při přesunu do koncových bodů. Nasazením SecureCircle zdrojový kód je zašifrován v souborech, protože jsou vytaženy z úložišť zdrojového kódu bez dopadu na vývojáře nebo nástroje, které používají. Zdrojový kód je vždy uchováván v šifrovaném stavu a pouze schválené aplikace mohou přistupovat a upravovat kód prostého textu. Přístup ke zdrojovému kódu lze kdykoli zrušit, bez ohledu na to, kde jsou zabezpečené soubory zdrojového kódu uloženy. Udržování šifrovaných dat v jakémkoli typu souboru bez ovlivnění vývojářů nebo vývojářských nástrojů je to, co činí tento přístup k zabezpečení zdrojového kódu jedinečným. V SecureCircle věříme, že bezpečnost dat bez tření zvyšuje obchodní hodnotu pro naše zákazníky tím, že poskytuje trvalou ochranu před náhodnou exfiltrací a hrozbou zasvěcených osob. Pro více informací o tom, jak přistupujeme k zabezpečení dat, navštivte naše webové stránky www.securecircle.com.