zabezpieczanie kodu źródłowego przed utratą lub kradzieżą było w przeszłości wyzwaniem ze względu na brak dostępnych opcji zabezpieczeń zapewniających skuteczne zabezpieczenia bez wpływu na wydajność programistów. Dla wielu firm ich kod źródłowy jest niezwykle cennym zasobem, ale aby umożliwić produktywność, musi być kopiowany na punkty końcowe programistów w formacie zwykłego tekstu, co utrudnia zabezpieczenie i monitorowanie tego cennego zasobu.
Securecircle Data Access Security Broker (DASB) to prosta i niezawodna Architektura zabezpieczeń, która umożliwia Klientom zabezpieczenie kodu źródłowego w punkcie końcowym bez wpływania na programistów od wykonywania ich pracy. DASB chroni zarówno przed zagrożeniami wewnętrznymi, jak i przypadkową utratą danych, nie ograniczając programistów do konkretnych narzędzi IDE lub kompilacji.
po wdrożeniu w konfiguracji najlepszych praktyk SecureCircle może zabezpieczyć kod źródłowy w punktach końcowych bez konieczności zmiany sposobu działania zespołów programistycznych lub interakcji z kodem, IDE i narzędziami programistycznymi. Koncentruje się ona na najlepszych praktykach SecureCircle do zabezpieczania kodu źródłowego w środowiskach programistycznych.
Architektura wysokiego poziomu
najczęstszym podejściem do zarządzania i pracy z kodem źródłowym jest wykorzystanie jednego lub więcej repozytoriów kodu, które są uważane za źródło prawdy dla danego projektu programistycznego. Repozytoria kodu zapewniają funkcjonalność, która upraszcza zarządzanie różnymi wersjami kodu, gałęziami i wydaniami.
w środowiskach programistycznych powszechną praktyką jest kopiowanie kodu na swoje punkty końcowe (Mac/PC/Linux) za pomocą pull request lub procesu realizacji zakupu. Ta operacja kasowania lub pobierania umożliwia deweloperom przenoszenie kodu bezpośrednio do lokalnego punktu końcowego, co zapewnia najszybsze i najbardziej niezawodne środowisko programistyczne podczas pracy z kodem.
SecureCircle zapewnia, że kod źródłowy jest trwale szyfrowany, gdy przenosi się do punktu końcowego programistów bez wpływu na programistów i ich narzędzia, dzięki czemu firmy zawsze pozostają pod kontrolą ich kodu źródłowego, niezależnie od tego, gdzie znajduje się kod.
zabezpieczanie kodu źródłowego w punkcie końcowym
gdy SecureCircle został skonfigurowany zgodnie z najlepszymi praktykami, kod źródłowy jest zabezpieczany podczas przechodzenia z repozytorium kodu do punktów końcowych programistów. W szczególności proces klienta (np. Git, svn) w systemie programistów jest skonfigurowany jako bezpieczny proces. Gdy bezpieczny proces kopiuje lub zapisuje pliki z kodem źródłowym do punktu końcowego dewelopera, Agent SecureCircle zapewnia, że kod źródłowy w plikach jest szyfrowany przez cały czas i pozostaje zabezpieczony nawet w użyciu.
dodatkową warstwą zabezpieczeń zalecaną przez SecureCircle jest użycie SSH jako protokołu transferu dla wszelkich żądań pull Request z repozytorium kodu. Zapewni to nie tylko szyfrowanie kodu źródłowego podczas przesyłania, ale także dodatkową warstwę bezpieczeństwa, pozwalając na zarządzanie prywatnym plikiem klucza SSH na punktach końcowych programistów przez SecureCircle. Zabezpieczając klucz za pomocą SecureCircle, dostęp zarówno do kodu źródłowego w punkcie końcowym, jak i dostęp do repozytorium przez sieć może zostać cofnięty podczas wyłączania użytkownika lub urządzenia. Po cofnięciu dostępu do kodu żaden proces nie może go już odczytać w punkcie końcowym. Podobnie punkt końcowy nie będzie już mógł wysyłać żądań do repozytorium, ponieważ klucz SSH, który zapewnia dostęp do repozytorium kodu, jest również nieczytelny. Cały zabezpieczony kod źródłowy na punktach końcowych programistów jest monitorowany. Gdy aplikacje i proces próbują uzyskać dostęp do kodu źródłowego, usiłowane działania mogą być rejestrowane w SIEM w celu dalszej analizy.
umożliwienie dostępu do kodu źródłowego w punkcie końcowym
kod źródłowy w plikach, które zostały pobrane przez zatwierdzonego programistę w zatwierdzonym punkcie końcowym, przez zatwierdzony Proces, są zawsze przechowywane w stanie zaszyfrowanym. Nie tylko kod jest zawsze zaszyfrowany, tylko zatwierdzone identyfikatory i kompilatory mają dostęp do kodu w pliku inne procesy w punkcie końcowym deweloperów nie mogą uzyskać dostępu do zwykłej wersji tekstu kodu źródłowego, chyba że zostanie to wyraźnie zatwierdzone.
kiedy zatwierdzone IDE otwiera kod źródłowy, czyta zwykły tekst, ale plik nigdy nie jest odszyfrowany. Jednak kod źródłowy jest przechowywany w IDE i innych zatwierdzonych procesach, takich jak alternatywne IDE. Kompilatory mogą być również zatwierdzone aplikacje i czytać zwykły tekst w zabezpieczonym pliku tak, że skompilowany kod może odnieść sukces bez żadnych zmian w normalnym przepływie pracy programistów lub zmian w narzędziach kompilacji.
ogólnie rzecz biorąc, gdy procesy zużywające dane uruchamiane są w punkcie końcowym, są one albo uważane za dozwolony proces, który udziela uprawnień do odczytu zawartości w plikach, albo za odrzucony proces, w którym to przypadku są zmuszone do odczytu zaszyfrowanej wersji bajtów. Narzędzia transportowe, takie jak Eksplorator windows, Mac Finder, Klienci poczty e-mail i klienci synchronizacji plików (np. Dropbox) zaleca się odmowę wszystkich procesów, co oznacza, że procesy te mogą transportować zabezpieczone pliki, ale nigdy nie czytać treści tekstowych.
zabezpieczanie kodu źródłowego w schowku
często używa się schowka w systemie operacyjnym do przenoszenia danych z jednej lokalizacji do drugiej. W rozwoju kodu źródłowego możliwość kopiowania i wklejania jest ważnym narzędziem dla wydajności. Dzięki SecureCircle programiści mogą swobodnie kopiować i wklejać w obrębie dozwolonych procesów i między nimi. Jeśli jednak programista spróbuje wkleić kod z Dozwolonego procesu do procesu odrzuconego, operacja zostanie zablokowana. Kontrolując kopiowanie i wklejanie w ten sposób, kod źródłowy może zostać zablokowany przed eksfiltrowaniem do niezatwierdzonych aplikacji i procesów, które są uważane za wysokie ryzyko, takich jak Klienci poczty e-mail lub przeglądarki internetowe.
zabezpieczanie nowo utworzonego i pochodnego kodu źródłowego
gdy tworzone są nowe pliki z kodem źródłowym, można je zabezpieczyć domyślnie, jako część bezpiecznego procesu, który zabezpiecza każdy nowy utworzony plik, lub można je zabezpieczyć na podstawie zawartości kodu będącego pochodną kodu źródłowego, który był wcześniej zabezpieczony przez SecureCircle.
włączając bezpieczną pochodną, zostaną wykryte podobieństwa w danych między plikami. Gdy nowy plik zostanie utworzony z podobną zawartością do istniejącego pliku, zostanie on automatycznie zabezpieczony tymi samymi zasadami co oryginalny plik i przejrzyście zaszyfrowany, aby umożliwić bezpieczeństwo przenieść się z danymi. Gdy kod źródłowy jest kopiowany z jednego pliku do drugiego w ramach dozwolonego procesu, Secure Derivative zapewnia, że plik, który otrzyma ten kod, odziedziczy bezpieczeństwo pliku zawierającego oryginalny kod.
sprawdzanie kodu źródłowego w repozytorium
podczas sprawdzania kodu z powrotem w repozytorium kodu, proces na punktach końcowych programisty może być ustawiony jako dozwolony proces, który usuwa szyfrowanie z bajtów kodu źródłowego, gdy jest wysyłany do repozytorium kodu. Pliki kodu źródłowego są szyfrowane podczas przesyłania przez SSH, ale są następnie przechowywane w formacie zwykłego tekstu w repozytorium kodu źródłowego, co pozwala standardowym narzędziom po stronie serwera w repozytorium kodu działać zgodnie z oczekiwaniami. Gdy programista sprawdzi kod w przyszłości, zostanie on zabezpieczony zgodnie z oryginalną metodą opisaną powyżej. SecureCircle zaleca wdrożenie kontroli bezpieczeństwa w repozytorium w celu uzupełnienia przepływu pracy kodu opisanego w niniejszym dokumencie.
cofanie dostępu do kodu źródłowego
w przypadku, gdy dostęp do kodu źródłowego musi zostać cofnięty, SecureCircle umożliwia wyłączenie dostępu do kodu źródłowego w punktach końcowych przez użytkownika, grupę lub urządzenie.
gdy dostęp do danych jest wyłączony, dane nie są już dostępne dla użytkownika, grupy lub urządzenia powiązanego, niezależnie od tego, gdzie znajdują się dane. Próby uzyskania dostępu do kodu źródłowego na urządzeniu, które miało Cofnięty dostęp, będą odrzucane i będą rejestrowane. Ponadto możliwość kopiowania kodu źródłowego z repozytorium zostanie również cofnięta, ponieważ plik klucza prywatnego SSH nie będzie już dostępny dla procesu klonowania w punkcie końcowym programistów. Usunięcie dostępu do kodu źródłowego może być skuteczne w ciągu kilku sekund w oparciu o konfigurację ustawień time To live (TTL) w usłudze SecureCircle. Wreszcie, dostęp do dodatkowych kopii lub pochodnych również zostanie cofnięty, nawet w przypadku, gdy zostały skopiowane na nośniki wymienne.
wniosek
SecureCircle pozwala firmom tworzyć przepływy pracy, które automatycznie zabezpieczają dane podczas przenoszenia do punktów końcowych. Dzięki wdrożeniu SecureCircle kod źródłowy jest szyfrowany w plikach, ponieważ są one wyciągane z repozytoriów kodu źródłowego bez wpływu na programistów lub narzędzia, których używają. Kod źródłowy jest zawsze przechowywany w zaszyfrowanym stanie, a tylko zatwierdzone aplikacje mogą uzyskać dostęp do zwykłego kodu tekstowego i modyfikować go. Dostęp do kodu źródłowego może zostać cofnięty w dowolnym momencie, niezależnie od tego, gdzie przechowywane są zabezpieczone pliki kodu źródłowego. Szyfrowanie danych w dowolnym typie plików bez wpływu na programistów lub narzędzia programistyczne jest tym, co czyni to podejście do bezpieczeństwa kodu źródłowego wyjątkowym. W SecureCircle wierzymy, że bezproblemowe bezpieczeństwo danych zwiększa wartość biznesową naszych klientów, zapewniając trwałą ochronę przed przypadkową eksfiltracją i zagrożeniami wewnętrznymi. Aby uzyskać więcej informacji na temat tego, jak podchodzimy do bezpieczeństwa danych, odwiedź naszą stronę internetową www.securecircle.com.