securizarea codului sursă împotriva pierderii sau furtului a fost istoric o provocare din cauza lipsei opțiunilor de securitate disponibile pentru a oferi o securitate eficientă fără a afecta productivitatea dezvoltatorului. Pentru multe companii, codul lor sursă este un activ extrem de valoros, dar pentru a permite productivitatea, acesta trebuie copiat pe punctele finale ale dezvoltatorilor în formate de text simplu, ceea ce face dificilă menținerea acestui activ valoros securizat și monitorizat.
Securecircle ‘ s Data Access Security Broker (DASB) este o arhitectură de securitate simplă și fiabilă care permite clienților să securizeze codul sursă pe punctul final fără a afecta dezvoltatorii să-și facă treaba. DASB protejează atât împotriva amenințărilor din interior, cât și împotriva pierderii accidentale a datelor, fără a constrânge dezvoltatorii la un anumit IDE sau la instrumente de construire.
când este implementat într-o configurație de bune practici, SecureCircle poate securiza codul sursă pe punctele finale fără ca echipele de dezvoltare să fie nevoite să schimbe modul în care operează sau interacționează cu codul, IDE-urile și instrumentele de dezvoltare. Aceasta se concentrează pe cele mai bune practici SecureCircle pentru securizarea codului sursă în mediile de dezvoltare.
arhitectură de nivel înalt
cea mai comună abordare a gestionării și lucrului cu codul sursă este de a utiliza unul sau mai multe depozite de coduri care sunt considerate sursa adevărului pentru un anumit proiect de dezvoltare. Depozitele de coduri oferă funcționalități care simplifică gestionarea diferitelor versiuni de cod, sucursale și versiuni.
în mediile de dezvoltare, este o practică obișnuită ca dezvoltatorii să copieze codul pe punctele lor finale (Mac/PC/Linux) folosind o cerere de tragere sau un proces de verificare. Această operațiune checkout sau pull permite dezvoltatorilor acces pentru a muta codul direct la punctul final local pentru cea mai rapidă și mai fiabilă experiență de dezvoltare atunci când se lucrează cu cod.
SecureCircle asigură codul sursă este criptat persistent atunci când se mută la punctul final al dezvoltatorilor fără impact asupra dezvoltatorilor și a instrumentelor lor, astfel încât întreprinderile să rămână întotdeauna în controlul codului sursă, indiferent de locul în care se află codul.
securizarea codului sursă pe punctul final
când SecureCircle a fost configurat pentru cele mai bune practici, codul sursă este securizat pe măsură ce trece de la depozitul de coduri la punctele finale pentru dezvoltatori. Mai exact, procesul client (e.x. git, svn) pe sistemul dezvoltatorilor este configurat ca un proces sigur. Când procesul securizat copiază sau scrie fișiere de cod sursă la punctul final al dezvoltatorului, agentul SecureCircle asigură că codul sursă din fișiere este criptat în orice moment și rămâne securizat chiar și în uz.
un strat suplimentar de securitate recomandat de SecureCircle este de a utiliza SSH ca protocol de transfer pentru orice cereri de tragere din depozitul de cod. Nu numai că acest lucru va asigura codul sursă este criptat în tranzit, dar permite, de asemenea, un strat suplimentar de securitate, permițând fișierul cheie SSH privat pe punctele finale ale dezvoltatorilor să fie gestionat de SecureCircle. Prin securizarea cheii cu SecureCircle, accesul atât la codul sursă de pe punctul final, cât și la accesul la depozit prin rețea poate fi revocat atunci când dezactivați un utilizator sau un dispozitiv. Când accesul la cod este revocat, acesta nu mai poate fi citit pe punctul final prin niciun proces. În mod similar, punctul final nu va mai putea face solicitări către depozit, deoarece cheia SSH care acordă acces la depozitul de coduri este, de asemenea, ilizibilă. Toate codul sursă securizat pe endpoints dezvoltator este monitorizată. Când aplicațiile și procesul încearcă să acceseze codul sursă, acțiunile încercate pot fi înregistrate într-un SIEM pentru analize suplimentare.
permiterea accesului la codul sursă de pe punctul final
codul sursă din fișierele care au fost verificate de un dezvoltator aprobat pe un punct final aprobat, printr-un proces aprobat, sunt întotdeauna păstrate într-o stare criptată. Nu numai că codul este întotdeauna criptat, numai IDE-urile și compilatoarele aprobate primesc acces la cod în fișier alte procese de pe punctul final al dezvoltatorilor nu pot accesa versiunea text simplă a codului sursă decât dacă sunt aprobate în mod explicit.
când un IDE aprobat deschide codul sursă, acesta citește text simplu, dar fișierul nu este niciodată decriptat. Cu toate acestea, codul sursă este păstrat în IDE și în alte procese aprobate, cum ar fi IDE-urile alternative. Compilatoarele pot fi, de asemenea, aplicații aprobate și pot citi text simplu în fișierul securizat, astfel încât codul compilat să poată avea succes fără nicio modificare a fluxului de lucru normal al dezvoltatorilor sau modificări ale instrumentelor de construire.
în general, atunci când procesele care consumă date rulează pe punctul final, acestea sunt considerate fie un proces permis care acordă permisiunea de a citi conținutul din fișiere, fie un proces refuzat, caz în care sunt obligați să citească versiunea criptată a octeților. Instrumente de Transport, cum ar fi Windows explorer, Mac Finder, clienți de e-mail și clienți de sincronizare a fișierelor (de ex. Dropbox) sunt recomandate tuturor proceselor refuzate, ceea ce înseamnă că aceste procese pot transporta fișiere securizate, dar nu citesc niciodată conținutul textului simplu.
securizarea codului sursă în clipboard
este obișnuit să folosiți clipboard-ul în sistemul de operare pentru a muta datele dintr-o locație în alta. În dezvoltarea codului sursă, capacitatea de a copia și lipi este un instrument important pentru productivitate. Cu SecureCircle, dezvoltatorii sunt liberi să copieze și să lipească în cadrul și între procesele permise. Cu toate acestea, dacă un dezvoltator încearcă să lipească codul dintr-un proces permis într-un proces refuzat, operațiunea va fi blocată. Controlând copierea și lipirea în acest fel, codul sursă poate fi blocat de a fi exfiltrat în aplicații și procese neaprobate care sunt considerate riscuri ridicate, cum ar fi clienții de e-mail sau browserele web.
securizarea codului sursă nou creat și derivat
când sunt create noi fișiere de cod sursă, acestea pot fi securizate în mod implicit, ca parte a unui proces securizat, care asigură fiecare fișier nou creat sau pot fi securizate pe baza conținutului codului fiind un derivat al codului sursă care a fost securizat anterior de SecureCircle.
prin activarea derivatei securizate, vor fi detectate asemănări între date între fișiere. Când un fișier nou este creat cu conținut similar cu un fișier existent, acesta va fi securizat automat cu aceleași politici ca fișierul original și criptat transparent pentru a permite securității să se deplaseze cu datele. Când codul sursă este copiat dintr-un fișier în altul în cadrul unui proces permis, Secure derivat asigură fișierul care primește acel cod va moșteni securitatea fișierului care conținea codul original.
Verificarea codului sursă în magazia
când verificați codul înapoi în magazia de coduri, procesul de pe punctele finale ale dezvoltatorului poate fi setat ca un proces permis, care elimină criptarea din octeții din codul sursă pe măsură ce este trimis în magazia de coduri. Fișierele de cod sursă sunt criptate în tranzit prin SSH, dar sunt apoi stocate în format text simplu în depozitul de cod sursă, ceea ce permite instrumentelor standard din partea serverului din depozitul de cod să continue să funcționeze conform așteptărilor. Atunci când un dezvoltator verifică codul în viitor, acesta va fi securizat conform metodei originale descrise mai sus. SecureCircle recomandă ca controalele de securitate să fie implementate în depozit pentru a completa fluxul de lucru de cod descris în această foaie albă.
revocarea accesului la codul sursă
în cazul în care accesul la codul sursă trebuie revocat, SecureCircle permite posibilitatea de a dezactiva accesul la codul sursă pe punctele finale de către utilizator, grup sau dispozitiv.
când accesul la date este dezactivat, datele nu mai sunt accesibile utilizatorului, grupului sau dispozitivului implicat, indiferent de locul în care se află datele. Încercările de a accesa codul sursă de pe un dispozitiv care a avut acces revocat vor fi refuzate și aceste încercări vor fi înregistrate. În plus, capacitatea de a copia codul sursă din depozit va fi, de asemenea, revocată, deoarece fișierul cheie privată SSH nu va mai fi accesibil procesului de clonare pe punctul final al dezvoltatorilor. Eliminarea accesului la codul sursă poate fi eficientă în câteva secunde pe baza configurației setărilor time to live (TTL) din cadrul Serviciului SecureCircle. În cele din urmă, accesul la orice copii sau derivate suplimentare va fi, de asemenea, revocat chiar și în cazul în care au fost copiate pe suporturi amovibile.
concluzie
SecureCircle permite companiilor să creeze fluxuri de lucru care securizează automat datele pe măsură ce se deplasează la puncte finale. Prin implementarea SecureCircle codul sursă este criptat în fișiere, deoarece acestea sunt scoase din depozitele de cod sursă fără impact asupra dezvoltatorilor sau a instrumentelor pe care le folosesc. Codul sursă este întotdeauna păstrat într-o stare criptată și numai aplicațiile aprobate pot accesa și modifica codul text simplu. Accesul la codul sursă poate fi revocat în orice moment, indiferent de locul în care sunt stocate fișierele de cod sursă securizate. Păstrarea datelor criptate în orice tip de fișier fără a afecta dezvoltatorii sau instrumentele pentru dezvoltatori este ceea ce face ca această abordare a securității codului sursă să fie unică. La SecureCircle, credem că securitatea datelor fără frecare generează valoare de afaceri pentru clienții noștri, oferind protecție persistentă împotriva exfiltrării accidentale și a amenințărilor din interior. Pentru mai multe informații despre modul în care abordăm securitatea datelor, vă rugăm să vizitați site-ul nostru www.securecircle.com.