proteger o código-fonte contra perda ou roubo tem sido historicamente desafiador devido à falta de opções de segurança disponíveis para fornecer segurança eficaz sem afetar a produtividade do desenvolvedor. Para muitas empresas, seu código – fonte é um recurso extremamente valioso, mas para permitir a produtividade, ele deve ser copiado para endpoints do desenvolvedor em formatos de texto simples, dificultando a manutenção desse valioso ativo protegido e monitorado.O Data Access Security Broker (Dasb) da SecureCircle é uma arquitetura de segurança simples e confiável que permite aos clientes proteger o código-fonte no endpoint sem afetar os desenvolvedores a fazerem seu trabalho. O DASB protege contra ameaças internas e perda acidental de dados sem restringir os desenvolvedores a um IDE específico ou criar ferramentas.
quando implantado em uma configuração de melhores práticas, o SecureCircle pode proteger o código – fonte em endpoints sem que as equipes de desenvolvimento precisem alterar a forma como operam ou interagem com o código, IDEs e ferramentas de desenvolvimento. Isso se concentra nas melhores práticas do SecureCircle para proteger o código-fonte em ambientes de desenvolvimento.
Alto Nível de Arquitetura
A abordagem mais comum para gerir e trabalhar com código-fonte é aproveitar um ou mais repositórios de código que são considerados como uma fonte de verdade para um determinado projeto de desenvolvimento. Os repositórios de código fornecem funcionalidades que simplificam o gerenciamento de várias versões de código, ramificações e lançamentos.
em ambientes de desenvolvimento, é prática comum que os desenvolvedores copiem o código em seus endpoints (Mac/PC/Linux) usando uma solicitação pull ou processo de checkout. Esta operação de checkout ou pull permite que os desenvolvedores acessem para mover o código diretamente para seu endpoint local para a experiência de desenvolvimento mais rápida e confiável ao trabalhar com código.O SecureCircle garante que o código – fonte seja criptografado persistentemente quando ele se move para o endpoint dos desenvolvedores sem impacto para os desenvolvedores e suas ferramentas, para que as empresas sempre permaneçam no controle de seu código-fonte, independentemente de onde o código reside.
protegendo o código-fonte no Endpoint
quando o SecureCircle foi configurado para as melhores práticas, o código-fonte é protegido conforme ele se move do repositório de código para os endpoints do desenvolvedor. Especificamente, o processo do cliente (e. X. git, svn) no sistema dos desenvolvedores é configurado como um processo seguro. Quando o processo seguro copia ou grava arquivos de código-fonte no endpoint do desenvolvedor, o agente SecureCircle garante que o código-fonte dentro dos arquivos seja criptografado o tempo todo e permaneça protegido mesmo em uso.
uma camada adicional de segurança recomendada pelo SecureCircle é usar SSH como protocolo de transferência para quaisquer solicitações pull do repositório de código. Isso não apenas garantirá que o código – fonte seja criptografado em trânsito, mas também permitirá que uma camada adicional de segurança permita que o arquivo de chave SSH privada nos endpoints dos desenvolvedores seja gerenciado pelo SecureCircle. Ao proteger a chave com o SecureCircle, o acesso ao código-fonte no endpoint e ao repositório pela rede pode ser revogado ao desativar um usuário ou dispositivo. Quando o acesso ao código é revogado, ele não pode mais ser lido no endpoint por nenhum processo. Da mesma forma, o endpoint não poderá mais fazer solicitações ao repositório, pois a chave SSH que concede acesso ao repositório de código também é ilegível. Todo o código-fonte seguro nos endpoints do desenvolvedor é monitorado. Quando os aplicativos e o processo tentam acessar o código-fonte, As ações tentadas podem ser registradas em um SIEM para análise posterior.
Permitindo o Acesso ao Código-Fonte no ponto de Extremidade
código-Fonte dentro de arquivos que tenham sido verificados por um aprovados desenvolvedor em um documento aprovado ponto final, por um processo aprovado, são sempre mantidos em um estado criptografado. Não só o código é sempre criptografado, apenas IDEs aprovados e compiladores têm acesso ao código dentro do arquivo outros processos no endpoint dos desenvolvedores não podem acessar a versão de texto simples do código-fonte, a menos que explicitamente aprovado.
quando um IDE aprovado Abre o código – fonte, ele lê texto simples, mas o arquivo nunca é descriptografado. No entanto, o código-fonte é mantido dentro do IDE e outros processos aprovados, como IDEs alternativos. Os compiladores também podem ser aplicativos aprovados e ler texto simples dentro do arquivo protegido para que o código compilado possa ser bem-sucedido sem qualquer alteração no fluxo de trabalho normal dos desenvolvedores ou alterações nas Ferramentas de compilação.
em geral, quando os processos que consomem dados são executados no endpoint, eles são considerados um processo permitido que concede permissão para ler o conteúdo dentro de arquivos ou um processo negado, caso em que são forçados a ler a versão criptografada dos bytes. Ferramentas de transporte, como Windows explorer, Mac Finder, clientes de E-mail e clientes de sincronização de arquivos (por exemplo Dropbox) são todos recomendados para serem negados processos, o que significa que esses processos podem transportar arquivos protegidos, mas nunca ler o conteúdo de texto simples.
como Proteger o código fonte dentro da área de transferência
é comum usar a área de transferência no sistema operacional para mover dados de um local para outro. No desenvolvimento do código-fonte, a capacidade de copiar e colar é uma ferramenta importante para a produtividade. Com o SecureCircle, os desenvolvedores são livres para copiar e colar dentro e entre os processos permitidos. No entanto, se um desenvolvedor tentar colar o código de um processo permitido para um processo negado, a operação será bloqueada. Ao controlar copiar e colar desta forma, o código-fonte pode ser bloqueado de ser exfiltrado em aplicativos e processos não aprovados que são considerados de alto risco, como clientes de E-mail ou navegadores da web.
Protegendo o recém-criado e derivados código fonte
Quando novos arquivos de código-fonte são criados, eles podem ser protegidas por padrão, como parte de um Processo Seguro, que protege cada arquivo novo criado ou pode ser fixado com base no conteúdo do código sendo um derivado de código-fonte que foi previamente protegido por SecureCircle.
ao ativar a derivada segura, serão detectadas semelhanças nos dados entre os arquivos. Quando um novo arquivo é criado com conteúdo semelhante a um arquivo existente, ele será automaticamente protegido com as mesmas políticas que o arquivo original e criptografado de forma transparente para permitir que a segurança se mova com os dados. Quando o código-fonte é copiado de um arquivo para outro dentro de um processo permitido, a derivada segura garante que o arquivo que recebe esse código herdará a segurança do arquivo que continha o código original.
verificando o código-fonte no repositório
ao verificar o código de volta ao repositório de código, o processo nos endpoints do desenvolvedor pode ser definido como um processo permitido, que remove a criptografia dos bytes dentro do código-fonte, pois é enviado para o repositório de código. Os arquivos de código-fonte são criptografados em trânsito através do SSH, mas são armazenados em formato de texto simples dentro do repositório de código-fonte, o que permite que as ferramentas padrão do lado do servidor dentro do repositório de código continuem a operar conforme o esperado. Quando um desenvolvedor verificar o código no futuro, ele será protegido de acordo com o método original descrito acima. SecureCircle recomenda que os controles de segurança sejam implementados no repositório para complementar o fluxo de trabalho de código descrito neste whitepaper.
Revogar o acesso ao código-fonte
No caso de o acesso ao código-fonte precisa ser revogado, SecureCircle permite que a capacidade de desabilitar o acesso ao código-fonte em pontos de extremidade de usuário, grupo ou dispositivo.
quando o acesso aos dados é desativado, os dados não estão mais acessíveis ao usuário, grupo ou dispositivo implicado, independentemente de onde os dados residem. As tentativas de acessar o código-fonte em um dispositivo que teve acesso revogado serão negadas e essas tentativas serão registradas. Além disso, a capacidade de copiar o código-fonte do repositório também será revogada, pois o arquivo de chave privada SSH não estará mais acessível ao processo de clone no endpoint dos desenvolvedores. A remoção do acesso ao código-fonte pode ser eficaz em segundos com base na configuração das configurações time to live (TTL) dentro do serviço SecureCircle. Finalmente, o acesso a quaisquer cópias ou derivados adicionais também será revogado, mesmo no caso de serem copiados para mídia removível.
conclusão
SecureCircle permite que as empresas criem fluxos de trabalho que protegem automaticamente os dados à medida que se movem para endpoints. Ao implantar o código-fonte SecureCircle é criptografado dentro de arquivos, pois eles são retirados de repositórios de código-fonte sem impacto para os desenvolvedores ou as ferramentas que eles usam. O código-fonte é sempre mantido em um estado criptografado, e apenas aplicativos aprovados podem acessar e modificar o código de texto simples. O acesso ao código-fonte pode ser revogado a qualquer momento, independentemente de onde os arquivos de código-fonte protegidos estão sendo armazenados. Manter os dados criptografados em qualquer tipo de arquivo sem afetar os desenvolvedores ou as ferramentas do desenvolvedor é o que torna essa abordagem exclusiva para a segurança do código-fonte. Na SecureCircle, acreditamos que a segurança de dados sem atrito gera valor comercial para nossos clientes, fornecendo proteção persistente contra exfiltração acidental e ameaça interna. Para obter mais informações sobre como abordamos a segurança de dados, visite nosso site www.securecircle.com.