Wie man die Offenlegung von Credentials / Secrets in Repositories und Kollaborationstools verhindert
(cremit.io)Hallo, GeekNews-Community!
Wir freuen uns sehr, dass ein Beitrag über das Problem, an dessen Lösung wir arbeiten, bei GeekNews erschienen ist, das unser gesamtes Team aufmerksam liest.
https://de.news.hada.io/topic?id=13442
In den Thread-Kommentaren wurde darum gebeten, es vorzustellen, daher möchten wir unser mit viel Einsatz entwickeltes Produkt kurz präsentieren.
- Projektvorstellung
- Wir bieten einen Erkennungsservice für Secret API Keys, die zur Integration mit verschiedensten SaaS-Diensten verwendet werden.
- Es gibt viele Tools wie TruffleHog und GitLeaks, diese sind jedoch stark auf DevSecOps-Tools fokussiert. Wir verbessern den Nachteil, dass aus Sicht von Security-Teams und Infrastruktur-Teams in der Praxis hohe Engineering-Kosten für den Einsatz anfallen.
- Neben GitHub und GitLab lässt sich die Integration derzeit auch auf Confluence, Jira und Notion erweitern.
- Wir helfen dabei, eine Credential-zentrierte Sicherheit für Secret, PII und Ähnliches aufzubauen, und ermöglichen es, über Threat-Management-Funktionen die Credential-Sicherheitsrisiken einer Organisation zu erkennen.
- Wir bieten Funktionen zur Anbindung an verschiedene IDPs, darunter SAML- / OIDC-Integration.
- Funktionsübersicht
- Wir bieten eine Secret-Erkennungsfunktion. Dabei wird sogar der Status von Secret Keys erkannt, sodass sich über Zustände wie Active / Inactive * False Positives reduzieren lassen.
- Wir bieten eine PII-Erkennungsfunktion. Da NLP enthalten ist, kann über das Erfassen des Kontexts statt nur per einfacher Regex die Offenlegung personenbezogener Daten genauer erkannt werden.
- Wir bieten eine Threat-Policy-Funktion. Zum Beispiel kann ein aktiver AWS Active Key als Bedrohung der Stufe High definiert werden, um Prioritäten zu erkennen.
- Wir bieten eine Dashboard-Funktion.
- Der Integrationsumfang lässt sich grob in zwei Bereiche unterteilen.
**Target - Öffentliche GitHub-Repositories und Ähnliches können hinzugefügt und überwacht werden.
**Integration - Für den internen (Private) Einsatz können GitHub, GitLab, Confluence, Jira, Notion usw. angebunden werden.
- Mitgliederverwaltung
- Die Berechtigungen sind grob in Administrator, Writer und Reader unterteilt, wodurch eine organisationsweite Verwaltung in größerem Umfang möglich ist.
- Über SAML- / OIDC-Integration ist eine Anbindung an das von der Organisation betriebene IDP möglich.
- Referenzlinks
- Support Center - https://support.cremit.io - Hilfe ist über das Ticketsystem und die Dokumentation verfügbar.
- Status Page - https://status.cremit.io - Hier können Sie den Status des Dienstes prüfen.
- Security Center - https://security.cremit.io - Hier können Sie das von Climit eingehaltene Sicherheitsniveau prüfen.
- Roadmap - https://releases.cremit.io
- Kontinuierliche Erweiterung des Integrationsumfangs - Auch bei AWS S3, GCS, Azure Storage usw. kommt es fortlaufend zu Vorfällen durch Datenlecks und einen unkontrollierten Umgang mit personenbezogenen Daten. Daher hat das Climit-Team diese Bereiche in die Erweiterungs-Roadmap aufgenommen.
- Kontinuierliche Erweiterung der Verwaltungsfunktionen
- Die Verwaltungsfunktionen für Incident-Management in Verbindung mit der Threat-Funktion werden fortlaufend erweitert.
- Kontinuierliche Erweiterung des Secret-Erkennungsumfangs - SaaS-Tools werden auch heute noch jede Woche dutzendfach aktualisiert und neu angebunden. Deshalb verfolgt das Climit-Team Secret Pattern / Validation Pattern kontinuierlich und aktualisiert sie entsprechend.
- Ergänzung von Benutzerverwaltungsfunktionen für PII-Daten - Derzeit verwaltet Climit die PII-Pattern als Managed Service; künftig können Benutzer diese selbst hinzufügen.
- Ergänzung einer Verifizierungsfunktion für Authentication-Informationen, die Benutzer direkt selbst handhaben
- Geplant ist außerdem eine Funktion zur Verknüpfung mit Secret-Daten über Login-Informationen aus internen Admin-Systemen, Backoffice-Systemen usw.
- Weitere Informationen
- Climit ist ein sehr junges Unternehmen, das im Mai 2023 gegründet wurde. Glücklicherweise konnten wir bereits im August des Gründungsjahres eine erste Seed-Investition von Primer erhalten.
- Wenn Sie ein Meeting mit unserem Team wünschen, können Sie jederzeit über unsere Website eines anfragen!
- Aktuell gibt es einen kostenlos nutzbaren Zeitraum sowie einen Free Plan. Bitte beachten Sie, dass einige Funktionen eingeschränkt sind.
URL zur Service-Registrierung - https://register.cremit.io
2 Kommentare
Die meisten dieser Erkennungstools beschränken sich auf Repositories oder Code, aber es ist gut, dass dieses auch Tools wie Notion oder Jira erfasst.
Ja, genau! Bestehende Tools konzentrieren sich eher auf DevSecOps.
Unser Ziel ist es, alle Orte zu erkennen, an denen Credentials offengelegt werden können – etwa Kollaborationstools, Drives und Repositories!
Vielen Dank für Ihr Interesse!