Тайните са предназначени да бъдат скрити или най-малкото да бъдат известни само на определен и ограничен кръг лица (или системи). В противен случай те не са истински тайни. В личния живот разкритата тайна може да навреди на взаимоотношенията, да доведе до социално заклеймяване или най-малкото да бъде смущаваща. В професионалния живот на разработчика или инженера по сигурността на приложенията последиците от разкриването на тайни могат да доведат до пробиви в сигурността, изтичане на данни и, е, също да бъдат смущаващи. И докато има налични инструменти за откриване на изходен код и хранилища за код, то има малко възможности за идентифициране на тайни в обикновен текст, документи, имейли, чат логове, системи за управление на съдържанието и др.

Какво представляват тайните?

В контекста на приложенията тайните са чувствителна информация, като например пароли, API ключове, криптографски ключове и други поверителни данни, от които приложението се нуждае, за да функционира, но не трябва да бъдат излагани на неоторизирани потребители. Тайните обикновено се съхраняват по сигурен начин и се достъпват програмно от приложението, когато е необходимо.

Използването на тайни е съществен аспект от защитата на приложенията. Неоторизираният достъп до тези чувствителни части от информацията може да доведе до пробиви в сигурността и други злонамерени действия. За да защитят тайните, разработчиците, системните администратори и инженерите по сигурността използват различни техники за сигурност, като криптиране, сигурно съхранение и механизми за контрол на достъпа, за да гарантират, че само оторизирани потребители имат достъп до тях. Освен това те прилагат най-добри практики, като например редовна ротация на паролите и ключовете и ограничаване на обхвата на достъпа до тайните само до това, което е необходимо за функционирането на приложението.

Тайните във веригата за доставки на софтуер

Тайните са критичен компонент на сигурността на веригата за доставки на софтуер, която обхваща сътрудничеството до внедряването и всичко между тях.

Тайната, като например ключ за достъп или парола, често е единственото нещо, което стои между нападателя и чувствителните данни или системи. Ето защо е от съществено значение тези тайни да бъдат поверителни и сигурни. Когато тайните са компрометирани, това може да доведе до опустошително нарушение на сигурността на данните, което може да причини значителни финансови и репутационни щети на организацията.

Тайните са честа мишена на атаките по веригата за доставка на софтуер. Нападателите често се насочват към тайните, за да получат достъп до корпоративни системи, данни или сървъри. Те могат лесно да се сдобият с тези тайни, ако те по погрешка са изтекли към публичен източник. Опазването на тайните при сигурността на веригата за доставка на софтуер е от съществено значение, за да се гарантира, че нападателите не могат да ги използват, за да компрометират системите и данните на предприятието. Правилното управление на тайните може да помогне да се предотврати неоторизиран достъп до критични системи и данни, като по този начин се предпазят организациите от атаки по веригата на доставки.

Как да съхраните тайните си?

За да се предпазите от изтичане на тайни, можете да приложите следните практики:

• Използвайте променливи на средата за съхраняване на тайни: вместо да кодирате тайните в кода си, съхранявайте ги в променливи на средата. Това улеснява управлението на тайните и гарантира, че те няма да бъдат случайно предадени в хранилището за код.
• Използвайте файл .gitignore: Създайте файл .gitignore, за да изключите файловете, които съдържат тайни, от проследяване от Git. Това ще предотврати случайното предаване на поверителна информация в хранилището за код. Ако следвате стъпка № 1 по-горе, уверете се, че ако тайните се съхраняват във файл с променлива на средата, този файл е посочен в .gitignore.
• Използване на инструмент за управление на тайни: инструментът за управление на тайни може да помогне за сигурно съхранение и управление на тайни на приложения или системи. Това гарантира, че тайните са криптирани и достъпни само за упълномощени потребители.
• Използване на криптиране: криптирайте тайните, преди да ги съхранявате в хранилищата за код. Това осигурява допълнително ниво на сигурност и затруднява достъпа на нападателите до чувствителна информация.
• Използвайте двуфакторно удостоверяване (2FA): Включете 2FA за хранилищата на код, за да предотвратите неоторизиран достъп. Това добавя допълнително ниво на сигурност и затруднява достъпа на нападателите до хранилището за код.

Като следвате тези най-добри практики, можете да се предпазите от случайно излагане на чувствителна информация в нашите хранилища за код и мениджъри за контрол на изходния код. Но какво да кажем за други системи, като например системи за управление на съдържанието, обикновени текстови документи, имейли, чат логове и други цифрови активи, които не се съхраняват в хранилище?

Представяне на „Твърде много тайни“ от Checkmarx

Too Many Secrets (2MS) е проект с отворен код, посветен на това да помага на хората да защитават чувствителната си информация като пароли, пълномощни и API ключове от поява в публични уебсайтове и комуникационни услуги. Днес 2MS поддържа Confluence, а скоро ще добавим и поддръжка за Discord. Освен това тя е лесно разширяема и за други платформи за комуникация или сътрудничество.

Инсталирането и стартирането на 2MS е изключително бързо и лесно. Изградена в Go, всичко, от което се нуждаете, е да клонирате хранилището, да изградите проекта и да стартирате бинарната версия срещу вашата платформа. По-долу е списъкът с командите, които използвах, за да стартирам и да работя на OSX (използвайки Bash 5.1.16):

# brew install go

# git clone https://github.com/Checkmarx/2ms.git

# cd 2ms

# go build

# ./2ms –confluence https://<MyConfluence>.atlassian.net/wiki –confluence-spaces <MySpace> –confluence-username <MyUsername> –confluence-token <MyToken>

2MS е изградена на базата на двигател за откриване на тайни (понастоящем gitleaks) и включва различни приставки за взаимодействие с популярни платформи. Това означава, че всеки в общността с отворен код може да допринася, подобрява и разширява 2MS доста лесно.