Secrets Security

Une approche complète et multidimensionnelle pour détecter et sécuriser les secrets exposés et vulnérables dans tous les fichiers de vos référentiels et pipelines CI/CD

Les développeurs utilisent des secrets pour permettre aux applications de communiquer de façon sécurisée avec d’autres services cloud. Mais le stockage de ces données dans les fichiers de systèmes de contrôle des versions (VCS) tels que GitHub n’est pas sécurisé et peut entraîner l’apparition de vulnérabilités exploitables. Ce danger se manifeste lorsque les développeurs oublient d’effacer les secrets dans le code source. Le problème, c’est qu’une fois une telle information publiée dans un référentiel, elle est enregistrée dans son historique. Résultat : n’importe quel utilisateur peut facilement y accéder. Le risque est d’autant plus grand lorsque le contenu des référentiels est rendu public, ce qui permet aux attaquants de repérer facilement ces ressources pour les utiliser à mauvais escient.

La plupart des outils se contentent de scanner les secrets au cours d’une seule des phases du cycle applicatif. Ils peuvent donc entièrement passer à côté de certains types de secrets. Prisma® Cloud, en revanche, vérifie qu’aucun secret n’est exposé accidentellement et réduit le nombre de faux positifs sans ralentir la cadence de développement.

Prisma Cloud, une solution simple contre l’exposition de secrets durant le build et le runtime

Prisma Cloud s’intègre aux outils DevOps et analyse en permanence les secrets exposés pendant tout le cycle de développement, du code au runtime, en passant par le build et le déploiement. Son approche multidimensionnelle, qui combine une bibliothèque de politiques basées sur les signatures et un modèle d’entropie optimisé, lui permet de détecter les secrets dans presque n’importe quel type de fichier, y compris les modèles IaC, les images gold et les référentiels Git.
  • Les méthodes de détection plurielles repèrent les secrets complexes comme les chaînes et les mots de passe aléatoires.
  • Les facteurs de risques contextualisent les secrets afin d’accélérer la priorisation et la remédiation.
  • La solution s’intègre nativement aux outils et workflows de développement.
  • 100+ signature library.
    Bibliothèque de plus de 100 signatures
  • Fine-tuned entropy model.
    Modèle d’entropie optimisé
  • Supply chain visualization.
    Visualisation de la supply chain
  • Broad coverage.
    Couverture étendue
  • Detection pre-commit in VCS and CI pipelines.
    Détection pre-commit dans les systèmes VCS et les pipelines CI
  • Detection in running workloads and apps.
    Détection dans les workloads et les applications en cours d’exécution

LA SOLUTION PRISMA CLOUD

Une approche de la sécurité des secrets multidimensionnelle et « developer-first »

Détection précise

Parmi les identifiants les plus couramment reconnus comme exposés figurent les secrets recourant à des expressions régulières : jetons d’accès, clés API, clés de chiffrement, jetons OAuth, certificats et bien d’autres encore. Prisma Cloud s’appuie sur une centaine de signatures pour détecter et alerter la présence de divers secrets utilisant des expressions connues et prévisibles.

  • Couverture étendue

    Plus de 100 détecteurs de secrets spécifiques aux domaines génèrent des alertes précises dans les environnements de développement et d’exécution.

  • Analyse élargie et approfondie

    Détectez les secrets dans tous les fichiers de vos référentiels ainsi que dans les historiques de version de vos intégrations.

Modèle d’entropie optimisé

Les secrets ne sont pas tous pourvus de schémas cohérents ou identifiables. Par exemple, les méthodes basées sur les signatures sont incapables de détecter les noms d’utilisateurs et les mots de passe qui reposent sur des chaînes aléatoires. Résultat, certains secrets restent potentiellement exposés et accessibles publiquement. Prisma Cloud enrichit cette approche à l’aide d’un modèle d’entropie optimisé.

  • Modèle d’entropie optimisé

    Éliminez les faux positifs grâce à un modèle d’entropie optimisé qui exploite le contexte des chaînes pour détecter précisément les types de secrets complexes.

  • Visibilité inégalée

    Obtenez une visibilité et une maîtrise complètes sur tous les types de secrets utilisés par les développeurs cloud.

Feedback des développeurs

Les développeurs peuvent analyser les risques d’exposition ou de vulnérabilité des secrets via différentes méthodes :

  • Projets

    Les intégrations natives aux workflows de développement mettent au jour les secrets détectés dans les fichiers non conformes.

  • Supply chain

    Le graphe de la supply chain affiche les nœuds des fichiers de code source. Une investigation détaillée de l’arborescence des dépendances aide les développeurs à identifier la cause racine de l’exposition des secrets.

  • Commentaires de pull request

    Les utilisateurs peuvent facilement détecter et supprimer les secrets potentiellement divulgués pendant l’analyse de leurs pull requests.

  • Hooks pre-commit et intégrations CI

    Bloquez l’envoi de secrets vers un référentiel avant l’ouverture d’une pull request via un hook pre-commit.

Intégration à la plateforme CNAPP

Le seul moyen de garantir une sécurisation complète des applications cloud-native consiste à inclure l’analyse des secrets dans toutes les couches et à toutes les étapes du cycle de développement. Le module Secrets de Prisma Cloud s’active en un clic et fait partie intégrante de la plateforme de protection des applications cloud-native la plus complète du marché.

  • Détectez les secrets dans la supply chain

    Recherchez la présence de secrets exposés dans les référentiels comme GitHub, de même que dans les registres comme Docker, Quay ou encore Artifactory.

  • Éliminez les secrets exposés durant le runtime

    Bénéficiez d’une visibilité complète code-to-cloud pour détecter les secrets exposés dans les workloads et les ressources cloud en cours d’exécution grâce à des politiques de runtime.

Modules de sécurité du code

SÉCURITÉ DES INFRASTRUCTURES IAC

Intégration et automatisation de la sécurité IaC dans les workflows de développement

ANALYSE DE LA COMPOSITION LOGICIELLE (SCA)

Fonctionnalités contextualisées de sécurité du code et de conformité des licences open-source

SÉCURITÉ DE LA SUPPLY CHAIN LOGICIELLE

Protection complète des pipelines et composants logiciels

SECRETS SECURITY

Analyse full-stack et multidimensionnelle des secrets sur tous les référentiels et tous les pipelines

RESSOURCES

Accédez à une mine d’informations sur la sécurité du code