GitGuardian, le spécialiste de la détection de secrets et de la sécurité applicative, propose gratuitement HasMySecretLeaked, un outil destiné à aider les professionnels de la sécurité informatique à vérifier activement si les secrets de leur organisation ont été divulgués sur GitHub.com. Depuis 2017, GitGuardian travaille en collaboration avec des équipes de sécurité applicative, d'ingénierie des plateformes et de développement pour réduire la surface d'attaque de leurs organisations en remédiant aux expositions de secrets. Toutefois, avec l'introduction de "HasMySecretLeaked", GitGuardian franchit une étape supplémentaire en offrant la possibilité de réaliser des vérifications systématiques des fuites pour chaque secret au sein du processus DevOps.

  La sécurisation des secrets représente un défi complexe dans le domaine du développement d'applications natives du cloud. Les entreprises sont confrontées à la prolifération de secrets, notamment des clés d'API et des identifiants de base de données, qui peuvent fuiter au sein des outils de développement. De plus, ces secrets peuvent être exposés dans des environnements extérieurs à l'entreprise, tels que des dépôts GitHub personnels, des images Docker ou des bibliothèques open-source.

  Une base de données de 20 millions d’enregistrements

  Pour faire face à cette problématique, GitGuardian a déployé HasMySecretLeaked, une base de données privée qui contient plus de 20 millions d'enregistrements de secrets hachés ayant fait l'objet de fuites dans des sources publiques, y compris GitHub.com. Les utilisateurs ont la possibilité d'interroger cette base de données en soumettant une version hachée de leur secret dans la console de recherche, et GitGuardian effectuera des recherches pour trouver des correspondances parfaites, sans révéler d'autres secrets ni leur emplacement.

  De plus, à partir de maintenant, les utilisateurs de GitGuardian peuvent exploiter la puissance de HasMySecretLeaked directement depuis l'interface en ligne de commande ggshield. De plus, ggshield propose des plugins permettant d'exporter des secrets à partir d'outils couramment utilisés tels que HashiCorp Vault et AWS Secrets Manager, afin de les rendre disponibles dans des environnements locaux pour une inspection en quête de fuites.

  Une fonction intégrée dans la plateforme GitGuardian

  Cette fonctionnalité est également intégrée dans la plateforme GitGuardian. Elle notifie les équipes de sécurité lorsqu'elle détecte des secrets codés en dur, et que l'on trouve dans des dépôts de code appartenant à l'organisation, des espaces de travail Slack ou des projets Jira ayant fuité involontairement vers des sources publiques que l'organisation ne peut pas surveiller ni contrôler.

  GitGuardian effectue une analyse de chaque commit public sur GitHub à la recherche de fuites, couvrant les clés d'API, les identifiants de bases de données et les secrets des développeurs. En 2020, GitGuardian a identifié 3 millions de secrets exposés, 6 millions en 2021 et 10 millions en 2022. Les capacités de surveillance de GitGuardian font de "HasMySecretLeaked" une solution unique en son genre pour les organisations souhaitant vérifier la sécurité de leurs secrets.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR