Repositorio: cómo evitar la exposición de credenciales / secretos en herramientas de colaboración
(cremit.io)Hola a todos en GeekNews.
Nos dio mucho gusto ver en GeekNews, que todo nuestro equipo sigue de cerca, un artículo muy relacionado con el problema que estamos resolviendo.
https://es.news.hada.io/topic?id=13442
Como en los comentarios del hilo nos dijeron que lo presentáramos, queremos compartir el producto en el que hemos trabajado con mucho esfuerzo.
- Introducción al proyecto
- Ofrecemos un servicio de detección para Secret API Keys utilizadas para integrarse con diversos servicios SaaS.
- Existen muchas herramientas como TruffleHog y GitLeaks, pero están más enfocadas en herramientas de DevSecOps, por lo que desde la perspectiva de los equipos reales de seguridad o de administración de infraestructura requieren un alto costo de ingeniería para usarse. Nosotros estamos mejorando justamente ese punto débil.
- Puede integrarse no solo con GitHub y GitLab, sino también actualmente con Confluence, Jira y Notion, entre otros.
- Ayuda a construir una seguridad centrada en credenciales (Secret, PII) y permite identificar las amenazas de seguridad de credenciales de la organización mediante funciones de gestión de amenazas.
- Ofrece funciones para integrarse con distintos IDP, incluyendo integración con SAML / OIDC.
- Introducción a las funciones
- Ofrecemos funciones de detección de secretos. Incluso se puede identificar el estado de las Secret keys, como Active / Inactive, lo que ayuda a reducir los falsos positivos.
- Ofrecemos funciones de detección de PII. Incluye NLP, por lo que en comparación con un Regex simple puede identificar con mayor precisión la exposición de información personal al entender el contexto.
- Ofrecemos funciones de Threat Policy. Por ejemplo, se puede definir una AWS Active Key en estado Active como una amenaza High y así establecer prioridades.
- Ofrecemos funciones de Dashboard.
- El alcance de la integración se divide en dos grandes categorías.
**Target - Se pueden agregar elementos como GitHub público para monitoreo.
**Integration - Para uso interno (Private), se pueden integrar Github, GitLab, Confluence, Jira, Notion, etc.
- Gestión de miembros
- Los permisos se dividen en Administrator, Writer y Reader, lo que permite una operación organizacional amplia por organización.
- Es posible integrarse con el IDP que opere la organización mediante integración con SAML / OIDC.
- Enlaces de referencia
- Support Center - https://support.cremit.io - Puedes recibir ayuda mediante el sistema de tickets y la documentación.
- Status Page - https://status.cremit.io - Puedes verificar el estado del servicio.
- Security Center - https://security.cremit.io - Puedes revisar el nivel de seguridad que mantiene Cremit.
- Roadmap - https://releases.cremit.io
- Expansión continua del alcance de integración - También siguen ocurriendo filtraciones y una gestión desordenada de información personal en AWS S3, GCS, Azure Storage, etc. Por eso, el equipo de Cremit ya los ha incluido en el roadmap de expansión.
- Expansión continua de las funciones de gestión
- Está previsto ampliar continuamente las funciones de gestión para permitir la administración de incidentes en conjunto con las funciones de Threat.
- Expansión continua del alcance de detección de secretos - Las herramientas SaaS siguen actualizándose e integrándose por decenas cada semana. Por ello, el equipo de Cremit hace seguimiento continuo de los Secret Pattern / Validation Pattern y los actualiza.
- Adición de funciones de gestión para usuarios sobre datos PII - Actualmente, los usuarios podrán agregar directamente patrones de PII que hoy son gestionados de forma administrada por Cremit.
- Adición de funciones de validación para información de autenticación que los usuarios manejan directamente
- Está previsto agregar funciones para vincular secretos con información de inicio de sesión de sistemas internos de administración, back office, etc.
- Información adicional
- Cremit es una empresa en etapa muy temprana, fundada en mayo de 2023, y afortunadamente pudo recibir inversión semilla inicial de Primer en agosto del mismo año.
- Si necesitan una reunión con nuestro equipo, no duden en solicitarla en cualquier momento a través del sitio web.
- Actualmente hay un período de uso gratuito y también un Free Plan. Tomen en cuenta que existen algunas limitaciones de funciones.
URL de registro del servicio - https://register.cremit.io
2 comentarios
La mayoría de estas herramientas de detección suelen limitarse al repositorio o al código, pero está bueno que esta también detecte en herramientas como Notion o Jira.
¡Sí, así es! Las herramientas existentes están más enfocadas en DevSecOps.
¡Nuestro objetivo es detectar todos los lugares donde puedan exponerse credenciales, como herramientas de colaboración, drives y repositorios!
¡Gracias por el interés!