säkra källkod från förlust eller stöld har historiskt varit utmanande på grund av bristen på Säkerhetsalternativ tillgängliga för att leverera effektiv säkerhet utan att påverka utvecklarens produktivitet. För många företag är deras källkod en extremt värdefull tillgång men för att möjliggöra produktivitet måste den kopieras till utvecklarens slutpunkter i vanliga textformat, vilket gör det svårt att hålla denna värdefulla tillgång säkrad och övervakad.
Securecircles Data Access Security Broker (DASB) är en enkel och pålitlig säkerhetsarkitektur som gör det möjligt för kunder att säkra källkoden på slutpunkten utan att påverka utvecklare från att göra sitt jobb. DASB skyddar mot både insider hot och oavsiktlig dataförlust utan att begränsa utvecklare till en viss IDE eller bygga verktyg.
när SecureCircle distribueras i en best practice-konfiguration kan SecureCircle säkra källkod på slutpunkter utan att utvecklingsteam behöver ändra hur de fungerar eller interagerar med kod, IDE och utvecklingsverktyg. Detta fokuserar på SecureCircle bästa praxis för att säkra källkod i utvecklingsmiljöer.
Högnivåarkitektur
det vanligaste sättet att hantera och arbeta med källkod är att utnyttja en eller flera kodförråd som anses vara sanningskällan för ett givet utvecklingsprojekt. Kodlagren ger funktionalitet som förenklar hanteringen av olika versioner av kod, grenar och utgåvor.
i utvecklingsmiljöer är det vanligt att utvecklare kopierar kod till sina slutpunkter (Mac/PC/Linux) med hjälp av en pull request eller checkout-process. Denna utcheckning eller pull operation ger utvecklare tillgång att flytta kod direkt till sin lokala slutpunkt för den snabbaste och mest tillförlitliga utveckling erfarenhet när man arbetar med kod.
SecureCircle säkerställer källkoden är ständigt krypterad när den flyttar till utvecklarens slutpunkt utan påverkan på utvecklare och deras verktyg så att företag alltid har kontroll över sin källkod oavsett var koden finns.
säkra källkoden på slutpunkten
när SecureCircle har konfigurerats för bästa praxis säkras källkoden när den flyttas från kodförvaret till utvecklarens slutpunkter. Specifikt är klientprocessen (e.x. git, svn) på utvecklarens system konfigurerad som en säker Process. När den säkra processen kopierar eller skriver källkodsfiler till utvecklarens slutpunkt, säkerställer SecureCircle-agenten att källkoden i filerna krypteras hela tiden och förblir säkrad även i bruk.
ett ytterligare säkerhetslager som rekommenderas av SecureCircle är att använda SSH som överföringsprotokoll för alla pull-förfrågningar från kodförvaret. Detta kommer inte bara att säkerställa att källkoden krypteras i transit, men det tillåter också ett extra lager av säkerhet genom att låta den privata SSH-nyckelfilen på utvecklarens slutpunkter hanteras av SecureCircle. Genom att säkra nyckeln med SecureCircle kan åtkomst till både källkoden på slutpunkten och åtkomst till förvaret via nätverket återkallas när du inaktiverar en användare eller enhet. När åtkomst till koden återkallas kan den inte längre läsas på slutpunkten av någon process. På samma sätt kommer slutpunkten inte längre att kunna göra förfrågningar till förvaret, eftersom SSH-nyckeln som ger åtkomst till kodförvaret också är oläslig. All säker källkod på utvecklarens slutpunkter övervakas. När applikationerna och processen försöker komma åt källkoden kan de försökte åtgärderna loggas i en SIEM för vidare analys.
att tillåta åtkomst till källkoden på slutpunkten
källkod i filer som har checkat ut av en godkänd utvecklare på en godkänd slutpunkt, genom en godkänd process, hålls alltid i krypterat tillstånd. Inte bara är koden alltid krypterad, endast godkända IDE och kompilatorer beviljas åtkomst till koden i filen andra processer på utvecklarens slutpunkt kan inte komma åt den vanliga textversionen av källkoden om inte uttryckligen godkänts.
när en godkänd IDE öppnar källkoden läser den vanlig text men filen dekrypteras aldrig. Källkoden hålls dock inom IDE och andra godkända processer, till exempel alternativa Ide. Kompilatorer kan också vara godkända applikationer och läsa vanlig text i den säkrade filen så att kompilerad kod kan lyckas utan någon ändring av utvecklarens normala arbetsflöde eller ändringar i byggverktygen.
i allmänhet, när processer som konsumerar data körs på slutpunkten anses de antingen vara en tillåten Process som ger tillstånd att läsa innehållet i filer eller en nekad Process, i vilket fall de tvingas läsa den krypterade versionen av byte. Transportverktyg som Windows explorer, Mac Finder, e-postklienter och filsynkroniseringsklienter (t. ex. Dropbox) rekommenderas alla att nekas processer, vilket innebär att dessa processer kan transportera säkrade filer men aldrig läsa innehållet i vanlig text.
säkra källkod inom Urklipp
det är vanligt att använda Urklipp i operativsystemet för att flytta data från en plats till en annan. I källkodsutveckling är möjligheten att kopiera och klistra in ett viktigt verktyg för produktivitet. Med SecureCircle, utvecklare är fria att kopiera och klistra in inom och mellan tillåtna processer. Om en utvecklare försöker klistra in kod från en tillåten Process till en nekad Process blockeras åtgärden. Genom att kontrollera kopiera och klistra in på detta sätt kan källkoden blockeras från att exfiltreras till icke godkända applikationer och processer som anses vara höga risker, till exempel e-postklienter eller webbläsare.
säkra nyskapade och derivat källkod
när nya källkodsfiler skapas, kan de antingen säkras som standard, som en del av en säker Process, som säkrar varje ny fil skapas eller de kan säkras baserat på innehållet i koden är ett derivat av källkod som tidigare säkrades av SecureCircle.
genom att aktivera Säkert derivat kommer likheter inom data över filer att upptäckas. När en ny fil skapas med liknande innehåll som en befintlig fil, kommer den automatiskt att säkras med samma principer som den ursprungliga filen och transparent krypterad så att säkerheten kan röra sig med data. När källkoden kopieras från en fil till en annan inom en tillåten Process säkerställer Secure derivatan att filen som tar emot den koden kommer att ärva säkerheten för filen som innehöll den ursprungliga koden.
kontrollera källkoden i förvaret
när du kontrollerar koden tillbaka till kodförvaret kan processen på utvecklarens slutpunkter ställas in som en tillåten Process, vilket tar bort krypteringen från byte i källkoden när den skickas till kodförvaret. Källkodsfilerna krypteras i transit via SSH men lagras sedan i vanligt textformat i källkodsförvaret, vilket gör att standardverktyg på serversidan i kodförvaret fortsätter att fungera som förväntat. När en utvecklare checkar ut koden i framtiden kommer den att säkras enligt den ursprungliga metoden som beskrivs ovan. SecureCircle rekommenderar att säkerhetskontroller implementeras i förvaret för att komplettera kodarbetsflödet som beskrivs i denna vitbok.
återkalla åtkomst till källkod
om åtkomst till källkod måste återkallas tillåter SecureCircle möjligheten att inaktivera åtkomst till källkod på slutpunkter av användare, grupp eller enhet.
när åtkomst till data är inaktiverad är data inte längre tillgängliga för användaren, gruppen eller enheten som är inblandad, oavsett var data finns. Försök att komma åt källkoden på en enhet som hade åtkomst återkallas kommer att nekas och dessa försök kommer att loggas. Dessutom kommer möjligheten att kopiera källkod från förvaret också att återkallas eftersom SSH-privata nyckelfilen inte längre är tillgänglig för klonprocessen på utvecklarens slutpunkt. Borttagning av åtkomst till källkod kan vara effektiv inom några sekunder baserat på konfigurationen av time to live (TTL) inställningar inom SecureCircle tjänsten. Slutligen kommer åtkomst till ytterligare kopior eller derivat också att återkallas även om de kopierades till flyttbart media.
slutsats
SecureCircle tillåter företag att skapa arbetsflöden som automatiskt säkrar data när den flyttas till slutpunkter. Genom att distribuera SecureCircle källkod krypteras i filer som de dras ut ur källkodsförråd utan inverkan på utvecklare eller de verktyg de använder. Källkoden hålls alltid i krypterat tillstånd, och endast godkända applikationer kan komma åt och ändra den vanliga textkoden. Åtkomst till källkod kan återkallas när som helst, oavsett var de säkra källkodsfilerna lagras. Att hålla data krypterade i alla typer av filer utan att påverka utvecklare eller utvecklarverktyg är det som gör detta tillvägagångssätt för källkodsäkerhet unikt. På SecureCircle tror vi att friktionsfri datasäkerhet Driver affärsvärde för våra kunder genom att tillhandahålla ett bestående skydd mot oavsiktlig exfiltrering och insiderhot. För mer information om hur vi närmar oss datasäkerhet, besök vår hemsida www.securecircle.com.