À l’ère du « continuous delivery pipline », le code est devenu un précieux actif des entreprises. Mais dans un environnement informatique de plus en plus complexe, avec des infrastructures « software defined » a brouillé les frontières entre la sécurité des applications et la sécurité du cloud. Avec l’infrastructure as code (IaC), les couches d’application et d’infrastructure cloud fusionnent dans les systèmes de contrôle de version basés sur git.
Car, si l’infrastructure programmable a fluidifié le déploiement automatisé de ressources cloud avec plus de rapidité et de cohérence pour les équipes d’ingénierie, elle comporte encore des risques. Gartner prévoit que, jusqu’en 2023, au moins 99 % des défaillances de sécurité du cloud seront imputables à l’utilisateur, principalement aux erreurs de configuration. Ces erreurs se propagent du code aux environnements natifs du cloud, exposant au passage des flux de travail et des ressources critiques.
Toutes les fonctions de protection dans une seule plateforme
GitGuardian cherche maintenant à consolider toutes les fonctions de protection dans une seule plateforme : la détection des secrets et la remédiation, la surveillance de GitHub public pour détecter les fuites de secrets et de données sensibles, la détection des fuites de code source, et la détection d’intrusion dans le SDLC, en permettant aux équipes de sécurité de déployer à l’échelle des « canarytokens » dans leurs environnements DevOps et d’inciter les attaquants à se dévoiler.En plus de ces fonctions, GitGuardian à ses clients de protéger l’infrastructure de leur organisation à la source, en intégrant à sa plateforme l’analyse de l’infrastructure as code pour détecter les erreurs de configuration de sécurité. Et dans l’esprit du mouvement« Shift Left », il permet cela par le biais de son interface de ligne de commande (CLI) et open-source, ggshield. Disponible pour l’heure sur Terraform et AWS, l’entreprise prévoit de prendre en charge d’autres fournisseurs de services cloud comme Azure et Google Cloud Platform, et d’intégrer l’analyse de manière native dans les flux de travail des développeurs sur GitHub, GitLab ou Bitbucket.