Protezione del codice sorgente da perdita o furto è stata storicamente difficile a causa della mancanza di opzioni di sicurezza disponibili per fornire una sicurezza efficace senza influire sulla produttività degli sviluppatori. Per molte aziende, il loro codice sorgente è un bene estremamente prezioso, ma per consentire la produttività deve essere copiato sugli endpoint degli sviluppatori in formati di testo normale, rendendo difficile mantenere questo prezioso bene protetto e monitorato.
Data Access Security Broker (DASB) di SecureCircle è un’architettura di sicurezza semplice e affidabile che consente ai clienti di proteggere il codice sorgente sull’endpoint senza influenzare gli sviluppatori dal fare il loro lavoro. DASB protegge sia dalle minacce interne che dalla perdita accidentale di dati senza vincolare gli sviluppatori a un particolare IDE o strumenti di compilazione.
Se distribuito in una configurazione best practice, SecureCircle può proteggere il codice sorgente sugli endpoint senza che i team di sviluppo debbano modificare il modo in cui operano o interagiscono con codice, IDE e strumenti di sviluppo. Questo si concentra sulle best practice di SecureCircle per proteggere il codice sorgente negli ambienti di sviluppo.
Architettura di alto livello
L’approccio più comune per gestire e lavorare con il codice sorgente è quello di sfruttare uno o più repository di codice che sono considerati la fonte di verità per un determinato progetto di sviluppo. I repository di codice forniscono funzionalità che semplificano la gestione di varie versioni di codice, rami e rilasci.
Negli ambienti di sviluppo, è pratica comune per gli sviluppatori copiare il codice sui loro endpoint (Mac/PC/Linux) utilizzando una richiesta pull o un processo di checkout. Questa operazione di checkout o pull consente agli sviluppatori di accedere per spostare il codice direttamente al loro endpoint locale per l’esperienza di sviluppo più veloce e più affidabile quando si lavora con il codice.
SecureCircle garantisce che il codice sorgente sia crittografato in modo persistente quando si sposta sull’endpoint degli sviluppatori senza impatto per gli sviluppatori e i loro strumenti, in modo che le aziende rimangano sempre in controllo del loro codice sorgente indipendentemente da dove risiede il codice.
Protezione del codice sorgente sull’endpoint
Quando SecureCircle è stato configurato in modo ottimale, il codice sorgente viene protetto mentre si sposta dal repository del codice agli endpoint degli sviluppatori. In particolare, il processo client (es. git, svn) sul sistema degli sviluppatori è configurato come processo sicuro. Quando il processo sicuro copia o scrive file di codice sorgente nell’endpoint dello sviluppatore, l’agente SecureCircle garantisce che il codice sorgente all’interno dei file sia crittografato in ogni momento e rimanga protetto anche durante l’uso.
Un ulteriore livello di sicurezza raccomandato da SecureCircle è quello di utilizzare SSH come protocollo di trasferimento per qualsiasi richiesta pull dal repository di codice. Questo non solo garantisce che il codice sorgente sia crittografato in transito, ma consente anche un ulteriore livello di sicurezza consentendo la gestione del file della chiave SSH privata sugli endpoint degli sviluppatori da parte di SecureCircle. Proteggendo la chiave con SecureCircle, l’accesso sia al codice sorgente sull’endpoint che all’accesso al repository attraverso la rete può essere revocato quando si disabilita un utente o un dispositivo. Quando l’accesso al codice viene revocato, non può più essere letto sull’endpoint da alcun processo. Allo stesso modo, l’endpoint non sarà più in grado di effettuare richieste al repository, poiché anche la chiave SSH che concede l’accesso al repository di codice è illeggibile. Tutto il codice sorgente protetto sugli endpoint degli sviluppatori viene monitorato. Quando le applicazioni e il processo tentano di accedere al codice sorgente, le azioni tentate possono essere registrate in un SIEM per ulteriori analisi.
Consentendo l’accesso al codice sorgente sull’endpoint
Il codice sorgente all’interno dei file che sono stati estratti da uno sviluppatore approvato su un endpoint approvato, da un processo approvato, viene sempre mantenuto in uno stato crittografato. Non solo il codice è sempre crittografato, solo gli IDE e i compilatori approvati hanno accesso al codice all’interno del file altri processi sull’endpoint degli sviluppatori non possono accedere alla versione in testo normale del codice sorgente a meno che non sia esplicitamente approvato.
Quando un IDE approvato apre il codice sorgente, legge il testo normale ma il file non viene mai decifrato. Tuttavia, il codice sorgente viene mantenuto all’interno dell’IDE e di altri processi approvati, come gli IDE alternativi. I compilatori possono anche essere applicazioni approvate e leggere il testo normale all’interno del file protetto in modo che il codice compilato possa avere successo senza alcuna modifica al normale flusso di lavoro degli sviluppatori o modifiche agli strumenti di compilazione.
In generale, quando i processi che consumano dati vengono eseguiti sull’endpoint, vengono considerati un processo consentito che concede l’autorizzazione a leggere il contenuto all’interno dei file o un processo negato, nel qual caso sono costretti a leggere la versione crittografata dei byte. Strumenti di trasporto come Windows Explorer, Mac Finder, client di posta elettronica e client di sincronizzazione file (ad es. Dropbox) sono tutti raccomandati per essere negato Processi, il che significa che questi processi possono trasportare i file protetti, ma mai leggere il contenuto di testo normale.
Protezione del codice sorgente negli appunti
È comune utilizzare gli appunti nel sistema operativo per spostare i dati da una posizione all’altra. Nello sviluppo del codice sorgente, la possibilità di copiare e incollare è uno strumento importante per la produttività. Con SecureCircle, gli sviluppatori sono liberi di copiare e incollare all’interno e tra i processi consentiti. Tuttavia, se uno sviluppatore tenta di incollare il codice da un processo consentito a un processo negato, l’operazione verrà bloccata. Controllando copia e incolla in questo modo il codice sorgente può essere bloccato da essere exfiltrated in applicazioni non approvate e processi che sono considerati ad alto rischio, come client di posta elettronica o browser web.
Protezione del codice sorgente appena creato e derivato
Quando vengono creati nuovi file di codice sorgente, possono essere protetti per impostazione predefinita, come parte di un processo sicuro, che protegge ogni nuovo file creato o possono essere protetti in base al contenuto del codice che è un derivato del codice sorgente precedentemente protetto da SecureCircle.
Abilitando Secure Derivative, verranno rilevate somiglianze all’interno dei dati tra i file. Quando un nuovo file viene creato con contenuti simili a un file esistente, verrà automaticamente protetto con le stesse politiche del file originale e crittografato in modo trasparente per consentire alla sicurezza di spostarsi con i dati. Quando il codice sorgente viene copiato da un file a un altro all’interno di un processo consentito, Secure Derivative garantisce che il file che riceve tale codice erediterà la sicurezza del file che conteneva il codice originale.
Controllo del codice sorgente nel repository
Quando si controlla il codice nel repository del codice, il processo sugli endpoint dello sviluppatore può essere impostato come Processo consentito, che rimuove la crittografia dai byte all’interno del codice sorgente mentre viene inviato al repository del codice. I file di codice sorgente vengono crittografati in transito attraverso SSH, ma vengono poi memorizzati in formato testo all’interno del repository del codice sorgente, che consente agli strumenti standard lato server all’interno del repository del codice di continuare a funzionare come previsto. Quando uno sviluppatore estrae il codice in futuro, sarà protetto secondo il metodo originale descritto sopra. SecureCircle consiglia di implementare i controlli di sicurezza nel repository per integrare il flusso di lavoro del codice descritto in questo white paper.
Revoca dell’accesso al codice sorgente
Nel caso in cui l’accesso al codice sorgente debba essere revocato, SecureCircle consente di disabilitare l’accesso al codice sorgente sugli endpoint per utente, gruppo o dispositivo.
Quando l’accesso ai dati è disabilitato, i dati non sono più accessibili all’utente, al gruppo o al dispositivo coinvolti, indipendentemente da dove risiedono i dati. I tentativi di accedere al codice sorgente su un dispositivo a cui è stato revocato l’accesso verranno negati e questi tentativi verranno registrati. Inoltre, la possibilità di copiare il codice sorgente dal repository verrà revocata poiché il file della chiave privata SSH non sarà più accessibile al processo di clonazione sull’endpoint degli sviluppatori. La rimozione dell’accesso al codice sorgente può essere efficace in pochi secondi in base alla configurazione delle impostazioni TTL (Time to live) all’interno del servizio SecureCircle. Infine, l’accesso a eventuali copie aggiuntive o derivati sarà revocato anche nel caso in cui siano stati copiati su supporti rimovibili.
Conclusione
SecureCircle consente alle aziende di creare flussi di lavoro che proteggono automaticamente i dati mentre si spostano verso gli endpoint. Distribuendo SecureCircle il codice sorgente viene crittografato all’interno dei file man mano che vengono estratti dai repository di codice sorgente senza alcun impatto sugli sviluppatori o sugli strumenti che utilizzano. Il codice sorgente viene sempre mantenuto in uno stato crittografato e solo le applicazioni approvate possono accedere e modificare il codice di testo normale. L’accesso al codice sorgente può essere revocato in qualsiasi momento, indipendentemente da dove vengono archiviati i file di codice sorgente protetti. Mantenere i dati crittografati all’interno di qualsiasi tipo di file senza influire sugli sviluppatori o sugli strumenti di sviluppo è ciò che rende unico questo approccio alla sicurezza del codice sorgente. In SecureCircle, crediamo che la sicurezza dei dati senza attrito determini il valore aziendale per i nostri clienti fornendo una protezione persistente contro l’esfiltrazione accidentale e le minacce interne. Per ulteriori informazioni su come affrontiamo la sicurezza dei dati, visita il nostro sito web www.securecircle.com.