3 Punkte von cremit 2024-03-09 | 2 Kommentare | Auf WhatsApp teilen

Hallo, GeekNews-Community!

Wir freuen uns sehr, dass ein Beitrag über das Problem, an dessen Lösung wir arbeiten, bei GeekNews erschienen ist, das unser gesamtes Team aufmerksam liest.
https://de.news.hada.io/topic?id=13442
In den Thread-Kommentaren wurde darum gebeten, es vorzustellen, daher möchten wir unser mit viel Einsatz entwickeltes Produkt kurz präsentieren.

  1. Projektvorstellung
  • Wir bieten einen Erkennungsservice für Secret API Keys, die zur Integration mit verschiedensten SaaS-Diensten verwendet werden.
  • Es gibt viele Tools wie TruffleHog und GitLeaks, diese sind jedoch stark auf DevSecOps-Tools fokussiert. Wir verbessern den Nachteil, dass aus Sicht von Security-Teams und Infrastruktur-Teams in der Praxis hohe Engineering-Kosten für den Einsatz anfallen.
  • Neben GitHub und GitLab lässt sich die Integration derzeit auch auf Confluence, Jira und Notion erweitern.
  • Wir helfen dabei, eine Credential-zentrierte Sicherheit für Secret, PII und Ähnliches aufzubauen, und ermöglichen es, über Threat-Management-Funktionen die Credential-Sicherheitsrisiken einer Organisation zu erkennen.
  • Wir bieten Funktionen zur Anbindung an verschiedene IDPs, darunter SAML- / OIDC-Integration.
  1. Funktionsübersicht
  • Wir bieten eine Secret-Erkennungsfunktion. Dabei wird sogar der Status von Secret Keys erkannt, sodass sich über Zustände wie Active / Inactive * False Positives reduzieren lassen.
  • Wir bieten eine PII-Erkennungsfunktion. Da NLP enthalten ist, kann über das Erfassen des Kontexts statt nur per einfacher Regex die Offenlegung personenbezogener Daten genauer erkannt werden.
  • Wir bieten eine Threat-Policy-Funktion. Zum Beispiel kann ein aktiver AWS Active Key als Bedrohung der Stufe High definiert werden, um Prioritäten zu erkennen.
  • Wir bieten eine Dashboard-Funktion.
  • Der Integrationsumfang lässt sich grob in zwei Bereiche unterteilen.
    **Target - Öffentliche GitHub-Repositories und Ähnliches können hinzugefügt und überwacht werden.
    **Integration - Für den internen (Private) Einsatz können GitHub, GitLab, Confluence, Jira, Notion usw. angebunden werden.
  1. Mitgliederverwaltung
  • Die Berechtigungen sind grob in Administrator, Writer und Reader unterteilt, wodurch eine organisationsweite Verwaltung in größerem Umfang möglich ist.
  • Über SAML- / OIDC-Integration ist eine Anbindung an das von der Organisation betriebene IDP möglich.
  1. Referenzlinks
  1. Roadmap - https://releases.cremit.io
  • Kontinuierliche Erweiterung des Integrationsumfangs - Auch bei AWS S3, GCS, Azure Storage usw. kommt es fortlaufend zu Vorfällen durch Datenlecks und einen unkontrollierten Umgang mit personenbezogenen Daten. Daher hat das Climit-Team diese Bereiche in die Erweiterungs-Roadmap aufgenommen.
  • Kontinuierliche Erweiterung der Verwaltungsfunktionen
  • Die Verwaltungsfunktionen für Incident-Management in Verbindung mit der Threat-Funktion werden fortlaufend erweitert.
  • Kontinuierliche Erweiterung des Secret-Erkennungsumfangs - SaaS-Tools werden auch heute noch jede Woche dutzendfach aktualisiert und neu angebunden. Deshalb verfolgt das Climit-Team Secret Pattern / Validation Pattern kontinuierlich und aktualisiert sie entsprechend.
  • Ergänzung von Benutzerverwaltungsfunktionen für PII-Daten - Derzeit verwaltet Climit die PII-Pattern als Managed Service; künftig können Benutzer diese selbst hinzufügen.
  • Ergänzung einer Verifizierungsfunktion für Authentication-Informationen, die Benutzer direkt selbst handhaben
  • Geplant ist außerdem eine Funktion zur Verknüpfung mit Secret-Daten über Login-Informationen aus internen Admin-Systemen, Backoffice-Systemen usw.
  1. Weitere Informationen
  • Climit ist ein sehr junges Unternehmen, das im Mai 2023 gegründet wurde. Glücklicherweise konnten wir bereits im August des Gründungsjahres eine erste Seed-Investition von Primer erhalten.
  • Wenn Sie ein Meeting mit unserem Team wünschen, können Sie jederzeit über unsere Website eines anfragen!
  • Aktuell gibt es einen kostenlos nutzbaren Zeitraum sowie einen Free Plan. Bitte beachten Sie, dass einige Funktionen eingeschränkt sind.

URL zur Service-Registrierung - https://register.cremit.io

2 Kommentare

 
00001 2024-03-11

Die meisten dieser Erkennungstools beschränken sich auf Repositories oder Code, aber es ist gut, dass dieses auch Tools wie Notion oder Jira erfasst.

 
cremit 2024-03-11

Ja, genau! Bestehende Tools konzentrieren sich eher auf DevSecOps.
Unser Ziel ist es, alle Orte zu erkennen, an denen Credentials offengelegt werden können – etwa Kollaborationstools, Drives und Repositories!
Vielen Dank für Ihr Interesse!