Il software complesso oggi include componenti che si basano su credenziali di autenticazione digitale comunemente denominate secret, che includono strumenti come credenziali di accesso, token API e chiavi di crittografia. Sebbene sia fondamentale per il funzionamento del software, la gestione dei segreti in ogni componente del codice è una sfida che può far sì che i segreti rimangano vulnerabili.
Società di sicurezza della catena di fornitura ReversingLabs sta lanciando una nuova funzione di rilevamento dei segreti all’interno della sua piattaforma SSCS (Software Supply Chain Security).
Questo mira a migliorare la copertura del rilevamento dei segreti fornendo ai team con il contesto e la trasparenza necessari per dare priorità agli sforzi correttivi dello sviluppatore, ridurre l’affaticamento del triage manuale e migliorare i controlli di sicurezza per prevenire le perdite.
“Queste nuove funzionalità sottolineano l’impegno di ReversingLabs nell’affrontare la crescente complessità della supply chain del software e minacce sempre più sofisticate. La nostra soluzione completa consente ai team di ontrollare il rilascio del software tramite il rilevamento di minacce alla catena di fornitura del software, malware, comportamenti dannosi, manomissioni e rivelazioni di segreti”, afferma Mario Vuksan, CEO e co-fondatore di ReversingLabs.”I rischi della catena di fornitura richiedono funzionalità di sicurezza delle applicazioni evolute che affrontano l’intero spettro di sfide introdotte da componenti di terze parti, software commerciale e configurazioni errate binarie oltre le librerie open source. La nostra piattaforma SSCS va oltre le soluzioni esistenti che forniscono solo conformità e vulnerabilità delle licenze open source rilevare o analizzare la qualità del codice sorgente per le vulnerabilità per colmare le lacune che si lasciano dietro.”
La soluzione ReversingLabs è in grado di identificare più di 250 tipi di segreti pronti all’uso, tra cui chiavi private, controllo della versione, certificati, token , e altro ancora. Una volta identificate, le sue capacità di rilevamento trasparente consentono ai team di visualizzare i segreti scoperti per una vera conferma positiva, determinare la loro posizione precisa, quali servizi sono interessati e se tali segreti sono esposti o trapelati altrove. La soluzione assegna la priorità agli sforzi di correzione sopprimendo le chiavi di test di terze parti, open source e altri segreti comunemente condivisi, riducendo al contempo l’affaticamento derivante dalla valutazione manuale.
Puoi leggere ulteriori informazioni su Blog di ReversingLabs.
Credito immagine: lucetfonte/foto di deposito