sikring af kildekode mod tab eller tyveri har historisk været udfordrende på grund af manglen på tilgængelige sikkerhedsindstillinger for at levere effektiv sikkerhed uden at påvirke udviklerens produktivitet. For mange virksomheder er deres kildekode et ekstremt værdifuldt aktiv, men for at muliggøre produktivitet skal den kopieres til udviklerens slutpunkter i almindelige tekstformater, hvilket gør det vanskeligt at holde dette værdifulde aktiv sikret og overvåget.
SecureCircle ‘ s Data Access Security Broker (DASB) er en enkel og pålidelig sikkerhedsarkitektur, der gør det muligt for kunderne at sikre kildekoden på slutpunktet uden at påvirke udviklere fra at gøre deres job. DASB beskytter mod både insider trussel og utilsigtet tab af data uden at begrænse udviklere til en bestemt IDE eller bygge værktøjer.
når SecureCircle implementeres i en best practice-konfiguration, kan SecureCircle sikre kildekoden på slutpunkter, uden at udviklingshold behøver at ændre, hvordan de fungerer eller interagerer med kode, ide ‘ er og udviklingsværktøjer. Dette fokuserer på SecureCircle bedste praksis for at sikre kildekode i udviklingsmiljøer.
arkitektur på højt niveau
den mest almindelige tilgang til styring og arbejde med kildekode er at udnytte et eller flere kodelagre, der betragtes som sandhedskilden for et givet udviklingsprojekt. Kodelagrene giver funktionalitet, der forenkler styring af forskellige versioner af kode, filialer og udgivelser.
i udviklingsmiljøer er det almindelig praksis for udviklere at kopiere Kode til deres slutpunkter (Mac/PC) ved hjælp af en pull-anmodning eller checkout-proces. Denne checkout-eller pull-operation giver udviklere adgang til at flytte kode direkte til deres lokale slutpunkt for den hurtigste og mest pålidelige udviklingsoplevelse, når de arbejder med kode.
SecureCircle sikrer, at kildekoden er vedvarende krypteret, når den flytter til udviklerens slutpunkt uden indflydelse på udviklere og deres værktøjer, så virksomheder altid forbliver i kontrol over deres kildekode, uanset hvor koden er bosat.
sikring af kildekoden på slutpunktet
når SecureCircle er konfigureret til bedste praksis, er kildekoden sikret, når den bevæger sig fra kodelageret til udviklerens slutpunkter. Specifikt er klientprocessen (f.eks. git, svn) på udviklerens system konfigureret som en sikker proces. Når den sikre proces kopierer eller skriver kildekodefiler til udviklerens slutpunkt, sikrer SecureCircle-agenten, at kildekoden i filerne altid er krypteret og forbliver sikret, selv i brug.
et yderligere sikkerhedslag, der anbefales af SecureCircle, er at bruge SSH som overførselsprotokol for eventuelle pull-anmodninger fra kodelageret. Dette vil ikke kun sikre, at kildekoden krypteres under transit, men det tillader også et ekstra lag af sikkerhed ved at lade den private SSH-nøglefil på udviklernes slutpunkter administreres af SecureCircle. Ved at sikre nøglen med SecureCircle kan adgang til både kildekoden på slutpunktet og adgang til lageret via netværket tilbagekaldes, når en bruger eller enhed deaktiveres. Når adgangen til koden tilbagekaldes, kan den ikke længere læses på slutpunktet ved nogen proces. Tilsvarende vil slutpunktet ikke længere være i stand til at fremsætte anmodninger til lageret, da SSH-nøglen, der giver adgang til kodelageret, også er ulæselig. Alle sikrede kildekode på Udvikler endpoints overvåges. Når applikationerne og processen forsøger at få adgang til kildekoden, kan de forsøgte handlinger logges i en SIEM til yderligere analyse.
at give adgang til kildekoden på slutpunktet
kildekode i filer, der er blevet tjekket ud af en godkendt udvikler på et godkendt slutpunkt, ved en godkendt proces, holdes altid i krypteret tilstand. Ikke kun er koden altid krypteret, kun godkendte ide’ er og kompilatorer får adgang til koden i filen andre processer på udviklerens slutpunkt kan ikke få adgang til den almindelige tekstversion af kildekoden, medmindre det udtrykkeligt er godkendt.
når en godkendt IDE åbner kildekoden, læser den almindelig tekst, men filen dekrypteres aldrig. Kildekoden holdes dog inden for IDE og andre godkendte processer, såsom alternative ide ‘ er. Compilere kan også godkendes applikationer og læse almindelig tekst i den sikrede fil, så kompileret kode kan lykkes uden nogen ændring i udviklerens normale arbejdsgang eller ændringer i build-værktøjerne.
generelt, når processer, der forbruger data, kører på slutpunktet, betragtes de enten som en tilladt proces, der giver tilladelse til at læse indholdet i filer eller en nægtet proces, i hvilket tilfælde de er tvunget til at læse den krypterede version af bytes. Transportværktøjer såsom Stifinder, Mac Finder, e-mail-klienter og filsynkroniseringsklienter (f. eks. Anbefales alle at blive nægtet processer, hvilket betyder, at disse processer kan transportere sikrede filer, men aldrig læse indholdet af almindelig tekst.
sikring af kildekode i udklipsholderen
det er almindeligt at bruge udklipsholderen i operativsystemet til at flytte data fra et sted til et andet. I kildekodeudvikling er evnen til at kopiere og indsætte et vigtigt værktøj til produktivitet. Med SecureCircle kan udviklere frit kopiere og indsætte inden for og mellem tilladte processer. Men hvis en udvikler forsøger at indsætte kode fra en tilladt proces til en nægtet proces, vil operationen blive blokeret. Ved at kontrollere kopier og indsæt på denne måde kan kildekoden blokeres fra at blive eksfiltreret til ikke-godkendte applikationer og processer, der betragtes som høje risici, f.eks.
sikring af nyoprettede og afledte kildekoder
når der oprettes nye kildekodefiler, kan de enten sikres som standard som en del af en sikker proces, der sikrer hver ny fil, der oprettes, eller de kan sikres baseret på, at indholdet af koden er et derivat af kildekoden, der tidligere var sikret af SecureCircle.
ved at aktivere sikker derivat, ligheder inden for data på tværs af filer vil blive opdaget. Når en ny fil oprettes med lignende indhold som en eksisterende fil, sikres den automatisk med de samme politikker som den originale fil og krypteres gennemsigtigt for at give sikkerheden mulighed for at bevæge sig med dataene. Når kildekoden kopieres fra en fil til en anden inden for en tilladt proces, sikrer Secure derivat, at den fil, der modtager denne kode, arver sikkerheden for den fil, der indeholdt den oprindelige kode.
kontrol af kildekoden i lageret
når koden kontrolleres tilbage i kodelageret, kan processen på udviklerens slutpunkter indstilles som en tilladt proces, som fjerner krypteringen fra bytes i kildekoden, når den sendes til kodelageret. Kildekodefilerne krypteres under transit gennem SSH, men gemmes derefter i almindeligt tekstformat i kildekodelageret, hvilket gør det muligt for standardserversideværktøjer i kodelageret at fortsætte med at fungere som forventet. Når en udvikler tjekker koden i fremtiden, vil den blive sikret i henhold til den oprindelige metode beskrevet ovenfor. SecureCircle anbefaler, at sikkerhedskontroller implementeres på lageret for at supplere den kodearbejdsproces, der er beskrevet i denne hvidbog.
tilbagekaldelse af adgang til kildekode
i tilfælde af at adgang til kildekode skal tilbagekaldes, giver SecureCircle mulighed for at deaktivere adgang til kildekode på slutpunkter af Bruger, gruppe eller enhed.
når adgang til data er deaktiveret, er dataene ikke længere tilgængelige for den implicerede bruger, gruppe eller enhed, uanset hvor dataene er placeret. Forsøg på at få adgang til kildekoden på en enhed, der havde adgang tilbagekaldt, vil blive nægtet, og disse forsøg vil blive logget. Derudover vil muligheden for at kopiere kildekode fra lageret også blive tilbagekaldt, da SSH private key-filen ikke længere vil være tilgængelig for klonprocessen på udviklerens slutpunkt. Fjernelse af adgang til kildekode kan være effektiv inden for få sekunder baseret på konfigurationen af time to live (TTL) indstillinger inden for SecureCircle service. Endelig vil adgang til yderligere kopier eller derivater også blive tilbagekaldt, selv i tilfælde af at de blev kopieret til flytbare medier.
konklusion
SecureCircle giver virksomheder mulighed for at oprette arbejdsgange, der automatisk sikrer data, når de flytter til slutpunkter. Ved at implementere SecureCircle er kildekoden krypteret i filer, da de trækkes ud af kildekodelagre uden indflydelse på udviklere eller de værktøjer, de bruger. Kildekoden opbevares altid i krypteret tilstand, og kun godkendte applikationer kan få adgang til og ændre den almindelige tekstkode. Adgang til kildekode kan til enhver tid tilbagekaldes, uanset hvor de sikrede kildekodefiler gemmes. At holde data krypteret inden for enhver filtype uden at påvirke udviklere eller udviklerværktøjer er det, der gør denne tilgang til kildekodesikkerhed unik. Hos SecureCircle mener vi, at friktionsfri datasikkerhed driver forretningsværdi for vores kunder ved at yde vedvarende beskyttelse mod utilsigtet eksfiltrering og insidertrussel. For mere information om, hvordan vi nærmer os datasikkerhed, besøg venligst vores hjemmeside www.securecircle.com.