Geliştiriciler, kaynak kodunda kullanılan gizli dizileri organize etmek ve dağıtılmış sistemleri ve altyapıyı yönetmek için mücadele ederken, gizli dizi yönetimi uygulama güvenliğinde süregelen bir zorluk olmaya devam ediyor.
Bu alanı ele alan en son başlangıç doppler, platformu geliştiricilerin gizli bilgileri güvenli bir şekilde saklamasına, iletmesine ve denetlemesine yardımcı olur. Doppler platformu, sırları aygıtlar, ortamlar ve ekip üyeleri arasında eşitler, böylece geliştiriciler sırları güvenli olmayan platformlarda (Slack veya e-posta gibi) paylaşmaktan veya .git ve .zip dosyalarına dahil etmek zorunda kalmazlar. Platform ayrıca sırların rotasyonunu da gerçekleştirebilir ve sırlar değiştiğinde onları bilgilendirmek için geliştiricilere Slack ve Microsoft Teams üzerinden uyarılar gönderir.
Sırlar, belirteçler, şifreleme anahtarları, API anahtarları ve dijital sertifikalar gibi hassas veri parçalarını ifade eder. A 1Password ile anket Geçen yıl, şirketlerin %65’inin 500’den fazla sırla uğraştığını ve %18’inin “sayabileceklerinden fazlasına” sahip olduklarını söyledi.
Sırlar, kaynak kodu, kapsayıcı ve altyapı görüntüleri ve yapılandırma dosyaları arasında dağılmıştır. GitGuardian’a göre 2021’de halka açık GitHub depolarının taramalarında 6 milyondan fazla sır tespit edildi. Sırlar Devleti Yayılma 2022 rapor.
Düşmanlar, bulut ortamlarına erişim sağlamak, yatay hareketlere yardımcı olmak ve uygulamalardaki verilere erişmek için rutin olarak bu sırları ele geçirmeye çalışır. Bu aydan daha erken, GitHub söz konusu düşmanlar, bu iki platform tarafından kullanılan bir avuç OAuth jetonunu çaldıktan sonra Heroku ve Travis-CI kullanan bazı kuruluşlardan özel veriler indirebildiler. Geçen sene, saldırganlar Codecov’u ele geçirdi ve Codecov’un müşterilerine ait sırları çaldı. Bu sırlar daha sonra müşterileri tehlikeye atmak için kullanıldı.
1Password, sırlarının kontrolünü kaybeden bir şirketin maliyetinin yılda 1,2 milyon dolar olduğunu tahmin ediyor.
Güvenlik Yönetimi Önemlidir
Kuruluşların, sahip oldukları sırların envanterini çıkarmak, erişimi kontrol etmek, sırları ortak çalışanlarla güvenli bir şekilde paylaşmak ve açığa çıktıklarında bu sırları derhal iptal etmek gibi sır yönetimini ele almak için yerinde süreçlere ihtiyaçları vardır. Ayrıca, geliştiricilerin kullandığı çok sayıda sır göz önüne alındığında, ölçeklenebilir olması ve ayrıca zaman yoğun olmaması gerekir.
Aynı 1Password anketinde, DevOps ve BT çalışanları, her gün sırları yönetmek için ortalama 25 dakika harcadıklarını söyledi – bu da şirketin yıllık yaklaşık 8,5 milyar dolarlık bir maaş bordrosu harcamasına yol açacağını tahmin ediyor.
Sır yönetimi oldukça kalabalık bir pazar olarak şekilleniyor. HashiCorp Vault, ekiplerin belirteçleri, parolaları, sertifikaları ve şifreleme anahtarlarını güvenli bir şekilde saklaması için bir kasa sunar. 1Password, 1Password Secrets Otomasyon hizmetinin temelini oluşturan SecretHub’ı geçen yıl satın aldı. Bulut devleri Amazon Web Services ve Google Cloud, sırasıyla AWS Secrets Manager ve Secrets Manager sunmaktadır. GitHub, GitLab ve Atlassian, kod depoları için çeşitli düzeylerde sır tarama araçları sunar.
Bir de A serisi fonlama turunun bir parçası olarak yakın zamanda 20 milyon dolar toplayan Doppler var.
CRV’nin genel ortağı Murat Biçer yaptığı açıklamada, “Küçük bir hata feci sonuçlara yol açabileceğinden, sırları güvenli bir şekilde saklama, iletme ve denetleme yeteneği hiç bu kadar kritik olmamıştı.” Dedi. CRV, finansman turunu yönetti. “Tek bir alanı yanlış yere koymanın bir şirketin tüm web sitesini tam anlamıyla çökerttiği bir dünyada, Doppler geliştirici odaklı yaklaşımıyla sızıntıları ve kesintileri önlemeyi kolaylaştırıyor.”