La sécurisation du code source contre la perte ou le vol a toujours été difficile en raison du manque d’options de sécurité disponibles pour assurer une sécurité efficace sans affecter la productivité des développeurs. Pour de nombreuses entreprises, leur code source est un atout extrêmement précieux, mais pour permettre la productivité, il doit être copié sur les points de terminaison des développeurs dans des formats de texte brut, ce qui rend difficile la sécurisation et la surveillance de cet actif précieux.
Le courtier de sécurité d’accès aux données (DASB) de SecureCircle est une architecture de sécurité simple et fiable qui permet aux clients de sécuriser le code source sur le point de terminaison sans affecter les développeurs de faire leur travail. DASB protège à la fois contre les menaces internes et les pertes de données accidentelles sans contraindre les développeurs à unE ou à des outils de construction particuliers.
Lorsqu’il est déployé dans une configuration de bonnes pratiques, SecureCircle peut sécuriser le code source sur les points de terminaison sans que les équipes de développement aient besoin de modifier leur fonctionnement ou d’interagir avec le code, lesEs et les outils de développement. Cela se concentre sur les meilleures pratiques de SecureCircle pour sécuriser le code source dans les environnements de développement.
Architecture de haut niveau
L’approche la plus courante pour gérer et travailler avec le code source consiste à exploiter un ou plusieurs référentiels de code considérés comme la source de vérité pour un projet de développement donné. Les dépôts de code fournissent des fonctionnalités qui simplifient la gestion des différentes versions de code, branches et versions.
Dans les environnements de développement, il est courant que les développeurs copient du code sur leurs points de terminaison (Mac/PC/Linux) à l’aide d’un processus de pull request ou de checkout. Cette opération d’extraction ou d’extraction permet aux développeurs de déplacer le code directement vers leur point de terminaison local pour une expérience de développement la plus rapide et la plus fiable lorsque vous travaillez avec du code.
SecureCircle garantit que le code source est crypté de manière persistante lorsqu’il se déplace vers le point de terminaison des développeurs sans impact sur les développeurs et leurs outils afin que les entreprises gardent toujours le contrôle de leur code source, quel que soit l’endroit où le code réside.
Sécurisation du code source sur le point de terminaison
Lorsque SecureCircle a été configuré selon les meilleures pratiques, le code source est sécurisé lorsqu’il passe du référentiel de code aux points de terminaison du développeur. Plus précisément, le processus client (par exemple git, svn) sur le système des développeurs est configuré comme un processus sécurisé. Lorsque le processus sécurisé copie ou écrit des fichiers de code source sur le point de terminaison du développeur, l’agent SecureCircle s’assure que le code source des fichiers est crypté à tout moment et reste sécurisé même en cours d’utilisation.
Une couche de sécurité supplémentaire recommandée par SecureCircle consiste à utiliser SSH comme protocole de transfert pour toutes les demandes d’extraction du référentiel de code. Non seulement cela garantira que le code source est chiffré en transit, mais cela permet également une couche de sécurité supplémentaire en permettant au fichier de clé SSH privé sur les points de terminaison des développeurs d’être géré par SecureCircle. En sécurisant la clé avec SecureCircle, l’accès au code source sur le point de terminaison et l’accès au référentiel sur le réseau peuvent être révoqués lors de la désactivation d’un utilisateur ou d’un périphérique. Lorsque l’accès au code est révoqué, il ne peut plus être lu sur le point de terminaison par aucun processus. De même, le point de terminaison ne pourra plus faire de requêtes au référentiel, car la clé SSH qui accorde l’accès au référentiel de code est également illisible. Tout le code source sécurisé sur les points de terminaison du développeur est surveillé. Lorsque les applications et le processus tentent d’accéder au code source, les actions tentées peuvent être enregistrées dans un SIEM pour une analyse plus approfondie.
Autoriser l’accès au Code source sur le point de terminaison
Le code source dans les fichiers qui ont été extraits par un développeur approuvé sur un point de terminaison approuvé, par un processus approuvé, est toujours conservé dans un état crypté. Non seulement le code est toujours crypté, mais seuls lesEs et compilateurs approuvés ont accès au code dans le fichier, d’autres processus sur le point de terminaison des développeurs ne peuvent pas accéder à la version en texte brut du code source à moins d’être explicitement approuvés.
Lorsqu’unE approuvé ouvre le code source, il lit du texte brut, mais le fichier n’est jamais déchiffré. Cependant, le code source est conservé dans l’EDI et d’autres processus approuvés, tels que d’autresEs. Les compilateurs peuvent également être des applications approuvées et lire du texte brut dans le fichier sécurisé afin que le code compilé puisse réussir sans aucune modification du flux de travail normal des développeurs ou des modifications des outils de génération.
En général, lorsque des processus qui consomment des données s’exécutent sur le point de terminaison, ils sont soit considérés comme un Processus autorisé qui accorde l’autorisation de lire le contenu des fichiers, soit comme un Processus Refusé, auquel cas ils sont obligés de lire la version chiffrée des octets. Outils de transport tels que l’explorateur Windows, le Finder Mac, les clients de messagerie et les clients de synchronisation de fichiers (par ex. Dropbox) sont tous recommandés pour être des processus refusés, ce qui signifie que ces processus peuvent transporter des fichiers sécurisés mais ne jamais lire le contenu en texte brut.
Sécurisation du code source dans le presse-papiers
Il est courant d’utiliser le presse-papiers dans le système d’exploitation pour déplacer des données d’un emplacement à un autre. Dans le développement de code source, la capacité de copier-coller est un outil important pour la productivité. Avec SecureCircle, les développeurs sont libres de copier et coller dans et entre les processus autorisés. Cependant, si un développeur tente de coller du code d’un Processus Autorisé vers un Processus Refusé, l’opération sera bloquée. En contrôlant le copier-coller de cette manière, le code source peut être empêché d’être exfiltré dans des applications et des processus non approuvés considérés comme à haut risque, tels que les clients de messagerie ou les navigateurs Web.
Sécurisation du code source nouvellement créé et dérivé
Lorsque de nouveaux fichiers de code source sont créés, ils peuvent être sécurisés par défaut, dans le cadre d’un processus sécurisé, qui sécurise chaque nouveau fichier créé, ou ils peuvent être sécurisés en fonction du contenu du code étant un dérivé du code source précédemment sécurisé par SecureCircle.
En activant la dérivée sécurisée, les similitudes entre les données entre les fichiers seront détectées. Lorsqu’un nouveau fichier est créé avec un contenu similaire à un fichier existant, il sera automatiquement sécurisé avec les mêmes politiques que le fichier d’origine et crypté de manière transparente pour permettre à la sécurité de se déplacer avec les données. Lorsque le code source est copié d’un fichier à un autre au sein d’un processus autorisé, Secure Derivative garantit que le fichier qui reçoit ce code héritera de la sécurité du fichier contenant le code d’origine.
Vérification du code source dans le référentiel
Lors de la vérification du code dans le référentiel de code, le processus sur les points de terminaison du développeur peut être défini comme un processus autorisé, ce qui supprime le cryptage des octets du code source lorsqu’il est envoyé au référentiel de code. Les fichiers de code source sont chiffrés en transit via SSH, mais sont ensuite stockés au format texte brut dans le référentiel de code source, ce qui permet aux outils standard côté serveur dans le référentiel de code de continuer à fonctionner comme prévu. Lorsqu’un développeur vérifie le code à l’avenir, il sera sécurisé selon la méthode originale décrite ci-dessus. SecureCircle recommande que des contrôles de sécurité soient implémentés sur le référentiel pour compléter le flux de travail de code décrit dans ce livre blanc.
Révoquer l’accès au code source
Dans le cas où l’accès au code source doit être révoqué, SecureCircle permet de désactiver l’accès au code source sur les points de terminaison par utilisateur, groupe ou appareil.
Lorsque l’accès aux données est désactivé, les données ne sont plus accessibles à l’utilisateur, au groupe ou au périphérique impliqué, quel que soit l’endroit où se trouvent les données. Les tentatives d’accès au code source sur un appareil dont l’accès a été révoqué seront refusées et ces tentatives seront enregistrées. De plus, la possibilité de copier le code source du référentiel sera également révoquée car le fichier de clé privée SSH ne sera plus accessible au processus de clonage sur le point de terminaison des développeurs. La suppression de l’accès au code source peut être effective en quelques secondes en fonction des paramètres de configuration de time to live (TTL) dans le service SecureCircle. Enfin, l’accès à toute copie supplémentaire ou dérivé sera également révoqué même dans le cas où ils auraient été copiés sur un support amovible.
Conclusion
SecureCircle permet aux entreprises de créer des flux de travail qui sécurisent automatiquement les données lorsqu’elles se déplacent vers des points de terminaison. En déployant SecureCircle, le code source est chiffré dans les fichiers au fur et à mesure qu’ils sont extraits des référentiels de code source, sans impact sur les développeurs ou les outils qu’ils utilisent. Le code source est toujours conservé dans un état crypté, et seules les applications approuvées peuvent accéder au code en texte brut et le modifier. L’accès au code source peut être révoqué à tout moment, quel que soit l’endroit où les fichiers de code source sécurisés sont stockés. Garder les données cryptées dans n’importe quel type de fichier sans affecter les développeurs ou les outils de développement est ce qui rend cette approche de la sécurité du code source unique. Chez SecureCircle, nous pensons que la sécurité des données sans friction génère de la valeur commerciale pour nos clients en offrant une protection persistante contre l’exfiltration accidentelle et les menaces internes. Pour plus d’informations sur la façon dont nous abordons la sécurité des données, veuillez visiter notre site Web www.securecircle.com .