Los secretos est\u00e1n destinados a ser ocultos o, al menos, solo conocidos por un conjunto espec\u00edfico y limitado de personas (o sistemas). De lo contrario, no son realmente secretos. En la vida personal, un secreto revelado puede da\u00f1ar las relaciones, provocar un estigma social o, al menos, ser vergonzoso. En la vida profesional de un desarrollador o ingeniero de seguridad de aplicaciones, las consecuencias de exponer secretos pueden conducir a violaciones de seguridad, fugas de datos y, bueno, tambi\u00e9n ser vergonzosos. Y si bien hay herramientas disponibles para detectar c\u00f3digo fuente y repositorios de c\u00f3digo, hay pocas opciones para identificar secretos en texto sin formato, documentos, correos electr\u00f3nicos, registros de chat, sistemas de administraci\u00f3n de contenido y m\u00e1s.<\/p>\n
\u00bfQu\u00e9 son los secretos?<\/strong><\/h2>\nEn el contexto de las aplicaciones, los secretos son informaci\u00f3n confidencial, como contrase\u00f1as, claves API, claves criptogr\u00e1ficas y otros datos confidenciales que una aplicaci\u00f3n necesita para funcionar, pero que no deben exponerse a usuarios no autorizados. Los secretos generalmente se almacenan de forma segura y la aplicaci\u00f3n accede a ellos mediante programaci\u00f3n cuando es necesario.<\/p>\n
El uso de secretos es un aspecto esencial de la seguridad de las aplicaciones. El acceso no autorizado a estos datos confidenciales puede dar lugar a infracciones de seguridad y otras actividades maliciosas. Para proteger los secretos, los desarrolladores, los administradores de sistemas y los ingenieros de seguridad utilizan una variedad de t\u00e9cnicas de seguridad como el cifrado, el almacenamiento seguro y los mecanismos de control de acceso para garantizar que solo los usuarios autorizados puedan acceder a ellos. Adem\u00e1s, implementan las mejores pr\u00e1cticas, como la rotaci\u00f3n peri\u00f3dica de contrase\u00f1as y claves, y la limitaci\u00f3n del alcance del acceso a los secretos a solo lo necesario para que la aplicaci\u00f3n funcione.<\/p>\n
Secretos en la cadena de suministro de software<\/strong><\/h2>\nLos secretos son un componente cr\u00edtico de la seguridad de la cadena de suministro de software, que abarca desde la colaboraci\u00f3n hasta la implementaci\u00f3n y todo lo dem\u00e1s. <\/p>\n
Un secreto, como una clave de acceso o una contrase\u00f1a, suele ser lo \u00fanico que se interpone entre un atacante y los datos o sistemas confidenciales. Por lo tanto, es esencial mantener estos secretos confidenciales y seguros. Cuando los secretos se ven comprometidos, puede conducir a una violaci\u00f3n de datos devastadora, que puede causar un da\u00f1o financiero y de reputaci\u00f3n significativo a una organizaci\u00f3n. <\/p>\n
Los secretos son un objetivo frecuente de los ataques a la cadena de suministro de software. Los atacantes a menudo tienen como objetivo los secretos para obtener acceso a los sistemas, datos o servidores de la empresa. Pueden obtener f\u00e1cilmente estos secretos si se han filtrado por error a una fuente p\u00fablica. Salvaguardar los secretos en la seguridad de la cadena de suministro de software es esencial para garantizar que los atacantes no puedan explotarlos para comprometer los sistemas y datos de la empresa. La gesti\u00f3n adecuada de secretos puede ayudar a prevenir el acceso no autorizado a sistemas y datos cr\u00edticos, protegiendo a las organizaciones de los ataques a la cadena de suministro.<\/p>\n
\u00bfC\u00f3mo mantienes los secretos en secreto?<\/strong><\/h2>\nPara protegerse contra la filtraci\u00f3n de secretos, puede emplear las siguientes pr\u00e1cticas:<\/p>\n
\n- Use variables de entorno para almacenar secretos: en lugar de codificar secretos en su c\u00f3digo, gu\u00e1rdelos en variables de entorno. Esto facilita la administraci\u00f3n de secretos y garantiza que no se env\u00eden accidentalmente a un repositorio de c\u00f3digo.<\/li>\n
- Use un archivo .gitignore: cree un archivo .gitignore para excluir archivos que contienen secretos del seguimiento de Git. Esto evitar\u00e1 que la informaci\u00f3n confidencial se env\u00ede accidentalmente a un repositorio de c\u00f3digo. Si sigue el n. \u00b0 1 anterior, aseg\u00farese de que si los secretos se almacenan en un archivo de variable de entorno, ese archivo se especifica en .gitignore.<\/li>\n
- Use una herramienta de administraci\u00f3n de secretos: una herramienta de administraci\u00f3n de secretos puede ayudar a almacenar y administrar de manera segura los secretos de aplicaciones o sistemas. Esto garantiza que los secretos est\u00e9n encriptados y que solo los usuarios autorizados puedan acceder a ellos.<\/li>\n
- Utilice el cifrado: cifre los secretos antes de almacenarlos en repositorios de c\u00f3digos. Esto proporciona una capa adicional de seguridad y dificulta que los atacantes accedan a informaci\u00f3n confidencial.<\/li>\n
- Usar autenticaci\u00f3n de dos factores (2FA): habilite 2FA para repositorios de c\u00f3digos para evitar el acceso no autorizado. Esto agrega una capa adicional de seguridad y dificulta que los atacantes obtengan acceso no autorizado a un repositorio de c\u00f3digo.<\/li>\n<\/ol>\n
Al seguir estas pr\u00e1cticas recomendadas, puede protegerse contra la exposici\u00f3n accidental de informaci\u00f3n confidencial en nuestros repositorios de c\u00f3digo y administradores de control de c\u00f3digo fuente. Pero, \u00bfqu\u00e9 pasa con otros sistemas, como los sistemas de administraci\u00f3n de contenido, documentos de texto sin formato, correos electr\u00f3nicos, registros de chat y otros activos digitales? no <\/em>almacenado en un repositorio?<\/p>\nPresentamos demasiados secretos de Checkmarx<\/strong><\/h2>\nToo Many Secrets (2MS) es un proyecto de c\u00f3digo abierto dedicado a ayudar a las personas a proteger su informaci\u00f3n confidencial, como contrase\u00f1as, credenciales y claves API, para que no aparezcan en sitios web p\u00fablicos y servicios de comunicaci\u00f3n. 2MS es compatible con Confluence hoy y pronto agregaremos soporte para Discord. Adem\u00e1s, tambi\u00e9n es f\u00e1cilmente extensible a otras plataformas de comunicaci\u00f3n o colaboraci\u00f3n.<\/p>\n
Instalar y ejecutar 2MS es extremadamente r\u00e1pido y simple. Construido en Go, todo lo que necesita es clonar el repositorio, compilar el proyecto y ejecutar el binario en su plataforma. A continuaci\u00f3n se muestra la lista de comandos que us\u00e9 para ponerme en marcha en OSX (usando Bash 5.1.16):<\/p>\n
\n# preparar cerveza ir<\/p>\n
# git clonar https:\/\/github.com\/Checkmarx\/2ms.git<\/a><\/p>\n#cd 2ms<\/p>\n
# ir a construir<\/p>\n
# .\/2ms –confluence https:\/\/.atlassian.net\/wiki –confluence-spaces –confluence-username –confluence-token <\/p>\n<\/blockquote>\n2MS se basa en un motor de detecci\u00f3n de secretos (actualmente gitleaks<\/a>) e incluye varios complementos para interactuar con plataformas populares. Esto significa que cualquiera en la comunidad de c\u00f3digo abierto puede contribuir, mejorar y ampliar 2MS con bastante facilidad.<\/p>\nAprende m\u00e1s<\/strong><\/h2>\nCreemos que al trabajar juntos, podemos crear un mundo digital m\u00e1s seguro<\/a>. Para obtener m\u00e1s informaci\u00f3n o descargar el proyecto usted mismo, dir\u00edjase a la https:\/\/github.com\/Checkmarx\/2ms<\/a>disponible en GitHub.<\/p>\nNota:<\/b> Este art\u00edculo fue escrito de manera experta y contribuido por Bryant Schuck, l\u00edder de gerente de producto en Checkmarx.<\/i><\/p>\n
<\/p>\n
Los secretos son un componente cr\u00edtico de la seguridad de la cadena de suministro de software, que abarca desde la colaboraci\u00f3n hasta la implementaci\u00f3n y todo lo dem\u00e1s. <\/p>\n
Un secreto, como una clave de acceso o una contrase\u00f1a, suele ser lo \u00fanico que se interpone entre un atacante y los datos o sistemas confidenciales. Por lo tanto, es esencial mantener estos secretos confidenciales y seguros. Cuando los secretos se ven comprometidos, puede conducir a una violaci\u00f3n de datos devastadora, que puede causar un da\u00f1o financiero y de reputaci\u00f3n significativo a una organizaci\u00f3n. <\/p>\n
Los secretos son un objetivo frecuente de los ataques a la cadena de suministro de software. Los atacantes a menudo tienen como objetivo los secretos para obtener acceso a los sistemas, datos o servidores de la empresa. Pueden obtener f\u00e1cilmente estos secretos si se han filtrado por error a una fuente p\u00fablica. Salvaguardar los secretos en la seguridad de la cadena de suministro de software es esencial para garantizar que los atacantes no puedan explotarlos para comprometer los sistemas y datos de la empresa. La gesti\u00f3n adecuada de secretos puede ayudar a prevenir el acceso no autorizado a sistemas y datos cr\u00edticos, protegiendo a las organizaciones de los ataques a la cadena de suministro.<\/p>\n
\u00bfC\u00f3mo mantienes los secretos en secreto?<\/strong><\/h2>\nPara protegerse contra la filtraci\u00f3n de secretos, puede emplear las siguientes pr\u00e1cticas:<\/p>\n
\n- Use variables de entorno para almacenar secretos: en lugar de codificar secretos en su c\u00f3digo, gu\u00e1rdelos en variables de entorno. Esto facilita la administraci\u00f3n de secretos y garantiza que no se env\u00eden accidentalmente a un repositorio de c\u00f3digo.<\/li>\n
- Use un archivo .gitignore: cree un archivo .gitignore para excluir archivos que contienen secretos del seguimiento de Git. Esto evitar\u00e1 que la informaci\u00f3n confidencial se env\u00ede accidentalmente a un repositorio de c\u00f3digo. Si sigue el n. \u00b0 1 anterior, aseg\u00farese de que si los secretos se almacenan en un archivo de variable de entorno, ese archivo se especifica en .gitignore.<\/li>\n
- Use una herramienta de administraci\u00f3n de secretos: una herramienta de administraci\u00f3n de secretos puede ayudar a almacenar y administrar de manera segura los secretos de aplicaciones o sistemas. Esto garantiza que los secretos est\u00e9n encriptados y que solo los usuarios autorizados puedan acceder a ellos.<\/li>\n
- Utilice el cifrado: cifre los secretos antes de almacenarlos en repositorios de c\u00f3digos. Esto proporciona una capa adicional de seguridad y dificulta que los atacantes accedan a informaci\u00f3n confidencial.<\/li>\n
- Usar autenticaci\u00f3n de dos factores (2FA): habilite 2FA para repositorios de c\u00f3digos para evitar el acceso no autorizado. Esto agrega una capa adicional de seguridad y dificulta que los atacantes obtengan acceso no autorizado a un repositorio de c\u00f3digo.<\/li>\n<\/ol>\n
Al seguir estas pr\u00e1cticas recomendadas, puede protegerse contra la exposici\u00f3n accidental de informaci\u00f3n confidencial en nuestros repositorios de c\u00f3digo y administradores de control de c\u00f3digo fuente. Pero, \u00bfqu\u00e9 pasa con otros sistemas, como los sistemas de administraci\u00f3n de contenido, documentos de texto sin formato, correos electr\u00f3nicos, registros de chat y otros activos digitales? no <\/em>almacenado en un repositorio?<\/p>\nPresentamos demasiados secretos de Checkmarx<\/strong><\/h2>\nToo Many Secrets (2MS) es un proyecto de c\u00f3digo abierto dedicado a ayudar a las personas a proteger su informaci\u00f3n confidencial, como contrase\u00f1as, credenciales y claves API, para que no aparezcan en sitios web p\u00fablicos y servicios de comunicaci\u00f3n. 2MS es compatible con Confluence hoy y pronto agregaremos soporte para Discord. Adem\u00e1s, tambi\u00e9n es f\u00e1cilmente extensible a otras plataformas de comunicaci\u00f3n o colaboraci\u00f3n.<\/p>\n
Instalar y ejecutar 2MS es extremadamente r\u00e1pido y simple. Construido en Go, todo lo que necesita es clonar el repositorio, compilar el proyecto y ejecutar el binario en su plataforma. A continuaci\u00f3n se muestra la lista de comandos que us\u00e9 para ponerme en marcha en OSX (usando Bash 5.1.16):<\/p>\n
\n# preparar cerveza ir<\/p>\n
# git clonar https:\/\/github.com\/Checkmarx\/2ms.git<\/a><\/p>\n#cd 2ms<\/p>\n
# ir a construir<\/p>\n
# .\/2ms –confluence https:\/\/.atlassian.net\/wiki –confluence-spaces –confluence-username –confluence-token <\/p>\n<\/blockquote>\n2MS se basa en un motor de detecci\u00f3n de secretos (actualmente gitleaks<\/a>) e incluye varios complementos para interactuar con plataformas populares. Esto significa que cualquiera en la comunidad de c\u00f3digo abierto puede contribuir, mejorar y ampliar 2MS con bastante facilidad.<\/p>\nAprende m\u00e1s<\/strong><\/h2>\nCreemos que al trabajar juntos, podemos crear un mundo digital m\u00e1s seguro<\/a>. Para obtener m\u00e1s informaci\u00f3n o descargar el proyecto usted mismo, dir\u00edjase a la https:\/\/github.com\/Checkmarx\/2ms<\/a>disponible en GitHub.<\/p>\nNota:<\/b> Este art\u00edculo fue escrito de manera experta y contribuido por Bryant Schuck, l\u00edder de gerente de producto en Checkmarx.<\/i><\/p>\n
<\/p>\n
Al seguir estas pr\u00e1cticas recomendadas, puede protegerse contra la exposici\u00f3n accidental de informaci\u00f3n confidencial en nuestros repositorios de c\u00f3digo y administradores de control de c\u00f3digo fuente. Pero, \u00bfqu\u00e9 pasa con otros sistemas, como los sistemas de administraci\u00f3n de contenido, documentos de texto sin formato, correos electr\u00f3nicos, registros de chat y otros activos digitales? no <\/em>almacenado en un repositorio?<\/p>\n Too Many Secrets (2MS) es un proyecto de c\u00f3digo abierto dedicado a ayudar a las personas a proteger su informaci\u00f3n confidencial, como contrase\u00f1as, credenciales y claves API, para que no aparezcan en sitios web p\u00fablicos y servicios de comunicaci\u00f3n. 2MS es compatible con Confluence hoy y pronto agregaremos soporte para Discord. Adem\u00e1s, tambi\u00e9n es f\u00e1cilmente extensible a otras plataformas de comunicaci\u00f3n o colaboraci\u00f3n.<\/p>\n Instalar y ejecutar 2MS es extremadamente r\u00e1pido y simple. Construido en Go, todo lo que necesita es clonar el repositorio, compilar el proyecto y ejecutar el binario en su plataforma. A continuaci\u00f3n se muestra la lista de comandos que us\u00e9 para ponerme en marcha en OSX (usando Bash 5.1.16):<\/p>\n # preparar cerveza ir<\/p>\n # git clonar https:\/\/github.com\/Checkmarx\/2ms.git<\/a><\/p>\n #cd 2ms<\/p>\n # ir a construir<\/p>\n # .\/2ms –confluence https:\/\/ 2MS se basa en un motor de detecci\u00f3n de secretos (actualmente gitleaks<\/a>) e incluye varios complementos para interactuar con plataformas populares. Esto significa que cualquiera en la comunidad de c\u00f3digo abierto puede contribuir, mejorar y ampliar 2MS con bastante facilidad.<\/p>\n Creemos que al trabajar juntos, podemos crear un mundo digital m\u00e1s seguro<\/a>. Para obtener m\u00e1s informaci\u00f3n o descargar el proyecto usted mismo, dir\u00edjase a la https:\/\/github.com\/Checkmarx\/2ms<\/a>disponible en GitHub.<\/p>\n Nota:<\/b> Este art\u00edculo fue escrito de manera experta y contribuido por Bryant Schuck, l\u00edder de gerente de producto en Checkmarx.<\/i><\/p>\n <\/p>\nPresentamos demasiados secretos de Checkmarx<\/strong><\/h2>\n
\n
Aprende m\u00e1s<\/strong><\/h2>\n