Pour aider les organisations à vérifier si certaines de leurs « secrets » ont fuité à travers les codes sources et images dockers partagés par leurs développeurs, GitGuardian lance un outil gratuit : HasMySecretLeaked.
GitGuardian a fait de la détection/protection des secrets et de la sécurité applicative son cheval de bataille.
L’éditeur lance un nouvel outil gratuit pour l’aider à populariser ses solutions mais plus encore sensibiliser les entreprises de toutes tailles à la difficile protection des « secrets », c’est-à-dire des clés, mots de passe, comptes et autres informations secrètes nécessaires pour accéder aux API, aux services et aux bases de données dont les développeurs font usage en toujours plus grand nombre.
Par manque de rigueur, nécessité d’aller vite, et manque de sensibilisation des développeurs, de telles informations sensibles se retrouvent souvent exposées dans des environnements hors du contrôle de l’entreprise, tels que des dépôts GitHub personnels, des images Docker, des repositories partagés ou même parfois des librairies open-source.
Dénommé HasMySecretLeaked, cet outil gratuit permet de vérifier de manière proactive si des secrets d’entreprise ont potentiellement fuité dans la multiplicité des codes sources placés sur GitHub.com.
HasMySecretLeaked s’appuie sur une base de données privée contenant plus de 20 millions d’enregistrements de secrets hachés ayant fait l’objet de fuites dans des sources publiques, y compris GitHub.com. Les utilisateurs peuvent interroger la base de données en soumettant une version hachée de leur secret dans la console de recherche. GitGuardian recherchera les correspondances parfaites, sans révéler d’autres secrets ou leur emplacement.
« Il suffit d’un appel à l’API pour savoir si les secrets ont fait l’objet d’une fuite publique. Nous avons mis au point un processus sécurisé et respectueux de la confidentialité qui renvoie une réponse sans équivoque à la question cruciale : Mon secret a-t-il fuité ? », explique ainsi Éric Fourrier, cofondateur et PDG de GitGuardian.
Outre cet outil autonome, les utilisateurs de GitGuardian peuvent également en exploiter la puissance directement à partir de l’interface en ligne de commande ggshield. Cette commande comprend par ailleurs des plug-ins pour exporter des secrets d’outils fréquemment utilisés tels que HashiCorp Vault et AWS Secrets Manager afin de les mettre à disposition dans des environnements locaux avant l’inspection à la recherche des fuites.
GitGuardian rappelle également que la fonctionnalité HasMysecretLeaked est déjà intégrée à sa plateforme de sécurisation des secrets. Cette intégration permet de notifier les équipes de sécurité lorsque des secrets codés en dur (trouvés dans des dépôts de code appartenant à l’organisation, des espaces de travail Slack ou des projets Jira) fuitent involontairement sur des sources publiques que l’organisation ne peut pas contrôler ou voir.
« Il ne s’agit pas seulement de visibilité. Une exposition publique non détectée fait toute la différence entre une simple alerte et un incident critique. C’est le contexte dont les équipes de sécurité ont cruellement besoin pour donner la priorité à la remédiation », précise de son côté Edouard Viot, VP Product chez GitGuardian.
Pour y accéder : HasMySecretLeaked – Building a Trustless and Secure Protocol