Proteger el código fuente de pérdidas o robos ha sido un desafío histórico debido a la falta de opciones de seguridad disponibles para ofrecer una seguridad efectiva sin afectar la productividad de los desarrolladores. Para muchas empresas, su código fuente es un activo extremadamente valioso que, para permitir la productividad, debe copiarse en terminales de desarrolladores en formatos de texto sin formato, lo que dificulta mantener este valioso activo protegido y monitorizado.
El Agente de seguridad de acceso a datos (DASB) de SecureCircle es una arquitectura de seguridad simple y confiable que permite a los clientes proteger el código fuente en el punto final sin afectar a los desarrolladores al hacer su trabajo. DASB protege contra amenazas internas y pérdidas accidentales de datos sin restringir a los desarrolladores a un IDE o herramientas de compilación en particular.
Cuando se implementa en una configuración de prácticas recomendadas, SecureCircle puede proteger el código fuente en los terminales sin que los equipos de desarrollo tengan que cambiar la forma en que operan o interactúan con el código, los IDE y las herramientas de desarrollo. Esto se centra en las mejores prácticas de SecureCircle para proteger el código fuente en entornos de desarrollo.
Arquitectura de alto nivel
El enfoque más común para administrar y trabajar con código fuente es aprovechar uno o más repositorios de código que se consideran la fuente de verdad para un proyecto de desarrollo dado. Los repositorios de código proporcionan una funcionalidad que simplifica la administración de varias versiones de código, ramas y versiones.
En entornos de desarrollo, es una práctica común para los desarrolladores copiar código en sus puntos finales (Mac / PC / Linux) mediante un proceso de solicitud de extracción o pago. Esta operación de extracción o extracción permite a los desarrolladores el acceso para mover el código directamente a su punto de conexión local para obtener la experiencia de desarrollo más rápida y confiable al trabajar con código.
SecureCircle garantiza que el código fuente esté cifrado de forma persistente cuando se mueve al punto final de los desarrolladores sin afectar a los desarrolladores y sus herramientas, de modo que las empresas siempre tengan el control de su código fuente, independientemente de dónde resida el código.
Protección del código fuente en el punto final
Cuando SecureCircle se ha configurado con las prácticas recomendadas, el código fuente se protege a medida que se mueve del repositorio de código a los puntos finales de desarrollador. Específicamente, el proceso cliente (por ejemplo, git, svn) en el sistema de los desarrolladores está configurado como un Proceso Seguro. Cuando el Proceso Seguro copia o escribe archivos de código fuente en el punto de conexión del desarrollador, el agente SecureCircle garantiza que el código fuente de los archivos esté cifrado en todo momento y se mantenga protegido incluso en uso.
Una capa de seguridad adicional recomendada por SecureCircle es usar SSH como protocolo de transferencia para cualquier solicitud de extracción del repositorio de código. Esto no solo asegurará que el código fuente esté cifrado en tránsito, sino que también permite una capa adicional de seguridad al permitir que el archivo de clave SSH privado en los puntos finales de los desarrolladores sea administrado por SecureCircle. Al proteger la clave con SecureCircle, se puede revocar el acceso al código fuente en el extremo y al repositorio a través de la red al deshabilitar un usuario o dispositivo. Cuando se revoca el acceso al código, ningún proceso ya no puede leerlo en el extremo. De manera similar, el extremo ya no podrá realizar solicitudes al repositorio, ya que la clave SSH que otorga acceso al repositorio de código también es ilegible. Se supervisa todo el código fuente seguro en los puntos finales del desarrollador. Cuando las aplicaciones y el proceso intentan acceder al código fuente, las acciones intentadas se pueden registrar en un SIEM para un análisis posterior.
Permitir el acceso al Código Fuente en el punto final
El código fuente de los archivos que un desarrollador aprobado ha extraído en un punto final aprobado, mediante un proceso aprobado, siempre se mantiene en estado cifrado. No solo el código está siempre cifrado, sino que solo los IDE y compiladores aprobados tienen acceso al código dentro del archivo.otros procesos en el extremo de los desarrolladores no pueden acceder a la versión de texto sin formato del código fuente a menos que se apruebe explícitamente.
Cuando un IDE aprobado abre el código fuente, lee texto sin formato, pero el archivo nunca se descifra. Sin embargo, el código fuente se mantiene dentro del IDE y otros procesos aprobados, como IDE alternativos. Los compiladores también pueden ser aplicaciones aprobadas y leer texto sin formato dentro del archivo seguro para que el código compilado pueda tener éxito sin ningún cambio en el flujo de trabajo normal de los desarrolladores o cambios en las herramientas de compilación.
En general, cuando los procesos que consumen datos se ejecutan en el extremo, se consideran un Proceso Permitido que otorga permiso para leer el contenido dentro de los archivos o un Proceso Denegado, en cuyo caso se ven obligados a leer la versión cifrada de los bytes. Herramientas de transporte como el explorador de Windows, el buscador de Mac, los clientes de correo electrónico y los clientes de sincronización de archivos (p. ej. Dropbox) se recomienda que se denieguen todos los procesos, lo que significa que estos procesos pueden transportar archivos seguros pero nunca leer el contenido de texto sin formato.
Protección del código fuente dentro del portapapeles
Es común usar el portapapeles en el sistema operativo para mover datos de una ubicación a otra. En el desarrollo de código fuente, la capacidad de copiar y pegar es una herramienta importante para la productividad. Con SecureCircle, los desarrolladores son libres de copiar y pegar dentro y entre los Procesos permitidos. Sin embargo, si un desarrollador intenta pegar código de un Proceso Permitido a un Proceso Denegado, la operación se bloqueará. Al controlar copiar y pegar de esta manera, el código fuente se puede bloquear para que no se filtre en aplicaciones y procesos no aprobados que se consideran de alto riesgo, como clientes de correo electrónico o navegadores web.
Protección de código fuente recién creado y derivado
Cuando se crean nuevos archivos de código fuente, se pueden proteger de forma predeterminada, como parte de un Proceso seguro, que protege cada nuevo archivo creado, o se pueden proteger en función del contenido del código que es un derivado del código fuente que estaba protegido previamente por SecureCircle.
Al habilitar la derivada segura, se detectarán similitudes entre los datos y los archivos. Cuando se crea un nuevo archivo con contenido similar a un archivo existente, se protegerá automáticamente con las mismas políticas que el archivo original y se cifrará de forma transparente para permitir que la seguridad se mueva con los datos. Cuando el código fuente se copia de un archivo a otro dentro de un Proceso permitido, Secure Derivative garantiza que el archivo que recibe ese código heredará la seguridad del archivo que contenía el código original.
Comprobación del código fuente en el repositorio
Al comprobar de nuevo el código en el repositorio de código, el proceso en los extremos del desarrollador se puede establecer como un Proceso permitido, lo que elimina el cifrado de los bytes dentro del código fuente a medida que se envía al repositorio de código. Los archivos de código fuente se cifran en tránsito a través de SSH, pero luego se almacenan en formato de texto sin formato dentro del repositorio de código fuente, lo que permite que las herramientas estándar del lado del servidor dentro del repositorio de código continúen funcionando como se espera. Cuando un desarrollador compruebe el código en el futuro, se asegurará según el método original descrito anteriormente. SecureCircle recomienda que se implementen controles de seguridad en el repositorio para complementar el flujo de trabajo de código descrito en este documento técnico.
Revocación del acceso al código fuente
En caso de que sea necesario revocar el acceso al código fuente, SecureCircle permite deshabilitar el acceso al código fuente en los terminales por usuario, grupo o dispositivo.
Cuando el acceso a los datos está deshabilitado, los datos ya no son accesibles para el usuario, grupo o dispositivo implicado, independientemente de dónde residan los datos. Se denegarán los intentos de acceder al código fuente en un dispositivo al que se haya revocado el acceso y se registrarán estos intentos. Además, la capacidad de copiar código fuente del repositorio también se revocará, ya que el archivo de clave privada SSH ya no será accesible para el proceso de clonación en el extremo de desarrolladores. La eliminación del acceso al código fuente puede ser efectiva en cuestión de segundos en función de la configuración de time to live (TTL) dentro del servicio SecureCircle. Por último, también se revocará el acceso a copias adicionales o derivados, incluso en el caso de que se hayan copiado en medios extraíbles.
Conclusión
SecureCircle permite a las empresas crear flujos de trabajo que protegen automáticamente los datos a medida que se mueven a los puntos finales. Al implementar SecureCircle, el código fuente se encripta dentro de los archivos a medida que se extraen de los repositorios de código fuente, sin afectar a los desarrolladores ni a las herramientas que utilizan. El código fuente siempre se mantiene en un estado cifrado, y solo las aplicaciones aprobadas pueden acceder y modificar el código de texto sin formato. El acceso al código fuente se puede revocar en cualquier momento, independientemente de dónde se almacenen los archivos de código fuente seguros. Mantener los datos cifrados dentro de cualquier tipo de archivo sin afectar a los desarrolladores ni a las herramientas de desarrollo es lo que hace que este enfoque de la seguridad del código fuente sea único. En SecureCircle, creemos que la seguridad de datos sin fricción impulsa el valor empresarial para nuestros clientes al proporcionar protección persistente contra la filtración accidental y las amenazas internas. Para obtener más información sobre cómo abordamos la seguridad de los datos, visite nuestro sitio web www.securecircle.com