Buscar

Secrets Security

Un enfoque multidimensional y completo para encontrar y proteger secretos expuestos y vulnerables en todos los archivos de sus repositorios y ciclos de CI/CD.
Solicitar una prueba gratuita
secrets-gitlab
secrets-projects

Los desarrolladores utilizan secretos para que sus aplicaciones se comuniquen de forma segura con otros servicios en la nube. Almacenar secretos en un archivo en sistemas de control de versiones (VCS, por sus siglas en inglés) como GitHub no es seguro, ya que se crean posibles vulnerabilidades que se pueden aprovechar. Esto suele ocurrir cuando los desarrolladores dejan sus secretos en el código fuente. Una vez que se confirma un secreto en un repositorio, se guarda en su historial y cualquier usuario puede acceder fácilmente a esas claves. Esto es especialmente arriesgado si el contenido del repositorio se hace público y los ciberdelincuentes pueden encontrarlo y utilizarlo con facilidad.

La mayoría de las herramientas solo buscan secretos de forma selectiva en una fase del ciclo de vida de la aplicación y pueden pasar por alto ciertos tipos de secretos. Prisma® Cloud puede garantizar que ningún secreto se exponga accidentalmente, a la vez que minimiza los falsos positivos y mantiene la velocidad de desarrollo.

1

Los secretos codificados de forma rígida son habituales en el desarrollo nativo en la nube.

Las credenciales codificadas de forma rígida no constituyen una buena práctica, a pesar de que a los desarrolladores les resulte más fácil utilizarlas y acceder a ellas. Su uso es especialmente peligroso en organizaciones de desarrollo matriciales y en repositorios basados en la nube. Desafortunadamente, son habituales: más del 41 % de los repositorios contienen secretos.
2

La exposición pública amplifica los riesgos.

Los secretos suelen quedar expuestos en repositorios públicos de su VCS o registro. Asimismo, cualquier secreto que se añada directamente al código fuente, a la IaC o a archivos de configuración de CI/CD (por mencionar unos ejemplos) puede verse en un VCS o quedar expuesto accidentalmente en los logs de compilación.
3

El uso de herramientas aisladas se traduce en una cobertura incompleta.

Los escáneres de secretos independientes suelen carecer de una cobertura coherente tanto en tiempo de compilación como de ejecución. Si no se integran en una estrategia más amplia de protección de aplicaciones nativas en la nube (CNAPP, por sus siglas en inglés), las organizaciones no podrán tener una visión completa del riesgo.

Prisma Cloud permite que los desarrolladores eviten fácilmente la exposición de secretos en tiempo de compilación y ejecución.

Al integrarse en las herramientas de DevOps y en el código, la compilación, la implementación y en tiempo de ejecución, Prisma Cloud busca continuamente los secretos expuestos durante todo el ciclo de desarrollo. Gracias a un potente enfoque multidimensional que combina una biblioteca de políticas basada en firmas y un modelo entrópico perfeccionado, identifica los secretos en casi cualquier tipo de archivo, desde plantillas de IaC hasta imágenes maestras, pasando por repositorios de Git.
  • Se usan varios métodos de detección para identificar secretos complejos, como cadenas aleatorias o contraseñas.
  • Los factores de riesgo contextualizan los secretos con el fin de agilizar la priorización y la corrección.
  • La solución se integra de forma nativa en las herramientas y flujos de trabajo de los desarrolladores.
  • 100+ signature library.
    Biblioteca con más de 100 firmas.
  • Fine-tuned entropy model.
    Modelo entrópico perfeccionado.
  • Supply chain visualization.
    Visualización de la cadena de suministro.
  • Broad coverage.
    Amplia cobertura.
  • Detection pre-commit in VCS and CI pipelines.
    Confirmación previa de detección en procesos de VCS y CI.
  • Detection in running workloads and apps.
    Detección en cargas de trabajo y aplicaciones en ejecución.
LA SOLUCIÓN PRISMA CLOUD

Enfoque multidimensional para la protección de secretos centrado en los desarrolladores

Detección precisa

Los secretos que utilizan expresiones regulares (tokens de acceso, claves de API, claves de cifrado, tokens OAuth, certificados, etc.) son los que se ven expuestos con más frecuencia. Prisma Cloud cuenta con más de 100 firmas para detectar una amplia gama de secretos con expresiones conocidas y predecibles y mostrar las alertas oportunas.

  • Amplia cobertura

    Más de 100 detectores de secretos específicos garantizan la precisión de las alertas tanto en tiempo de compilación como de ejecución.

  • Análisis amplio y profundo

    Busque secretos en todos los archivos de sus repositorios y en los historiales de versiones de sus integraciones.

Precise detection

Modelo entrópico perfeccionado

No todos los secretos son patrones coherentes o identificables. Por ejemplo, los métodos basados en firmas no detectarían los nombres de usuario ni las contraseñas de cadenas aleatorias por el hecho de ser aleatorios, lo cual podría dejar las principales claves completamente expuestas y accesibles al público. Prisma Cloud mejora la detección basada en firmas con un modelo entrópico perfeccionado.

  • Modelo entrópico perfeccionado

    Elimine los falsos positivos con un modelo entrópico perfeccionado que aprovecha el contexto de las cadenas para identificar con precisión los tipos de secretos complejos.

  • Visibilidad inigualable

    Obtenga una visibilidad y un control integrales del sinfín de secretos que utilizan los desarrolladores de aplicaciones en la nube.

Fine-tuned entropy model

Información para los desarrolladores

Los desarrolladores pueden analizar los riesgos asociados a los secretos expuestos o vulnerables de varias maneras:

  • Proyectos

    Integraciones nativas en los flujos de desarrollo y facilidad para mostrar los secretos detectados en archivos que incumplen la normativa.

  • Cadena de suministro

    Supply Chain Graph muestra los nodos del archivo de código fuente, y la investigación detallada del árbol de dependencias ayuda a los desarrolladores a identificar la causa principal de la exposición de los secretos.

  • Comentarios sobre solicitudes de incorporación de cambios

    Los usuarios pueden detectar secretos que tal vez se hayan filtrado como parte de sus análisis de solicitudes de incorporación de cambios, que pueden eliminarse fácilmente.

  • Ganchos de confirmación previa e integraciones de CI

    Aproveche el gancho (hook) de confirmación previa (pre-commit) para bloquear los secretos que se envían a un repositorio antes de que se abra una solicitud de incorporación de cambios.

Developer feedback

Parte de la CNAPP

La única forma de garantizar una cobertura completa a la hora de proteger las aplicaciones nativas en la nube es integrar el análisis de secretos en cada capa y paso del ciclo de desarrollo. El módulo de seguridad de los secretos de Prisma Cloud se puede activar con un solo clic y es solo uno de los componentes de la plataforma de protección de aplicaciones nativas en la nube más completa del sector.

  • Identifique los secretos en toda la cadena de suministro

    Busque los secretos expuestos en repositorios como GitHub y registros como Docker, Quay, Artifactory y otros.

  • Evite la exposición de secretos en tiempo de ejecución

    Aproveche la visibilidad integral del código a la nube e identifique los secretos expuestos en las cargas de trabajo en ejecución y los recursos en la nube con políticas de tiempo de ejecución.

Part of the CNAPP

Módulos de seguridad del código

INFRASTRUCTURE AS CODE SECURITY

Seguridad de la infraestructura IaC automatizada e integrada en los flujos de trabajo de desarrollo

Más información

SOFTWARE COMPOSITION ANALYSIS (SCA)

Funciones que tienen en cuenta el contexto para garantizar la seguridad del código abierto y el cumplimiento normativo de las licencias

Más información

SOFTWARE SUPPLY CHAIN SECURITY

Protección integral de los componentes y ciclos de software

Más información

SECRETS SECURITY

Análisis de secretos multidimensional de toda la solución en cualquier repositorio y ciclo

Más información
RECURSOS DESTACADOS

Documentos útiles sobre la seguridad del código

Ver todos los recursos
FICHA TÉCNICA

Secrets Security

Descargar
INFORME TÉCNICO

Lista de comprobación para la protección de secretos

Descargar
INFORME DE LOS ANALISTAS

GigaOm Radar for Developer Security Tools

Descargar
SEMINARIO WEB A PETICIÓN

Demostración a fondo del producto: Secrets Security

Ver ahora
FICHA TÉCNICA

Seguridad del código

Descargar

Historias de clientes

Descubra cómo Pokémon, Sabre y ElevenPaths se benefician de la seguridad del ciclo de vida completo y la protección de toda la solución tecnológica que ofrece Prisma Cloud.

Aspectos básicos de la seguridad en la nube

Conozca las tendencias en materia de DevSecOps y reciba consejos prácticos de los desarrolladores, líderes del sector y profesionales de la seguridad.

Últimas novedades de nuestro blog

Empiece por un artículo dedicado a la seguridad de los contenedores con información sobre los clústeres de Kubernetes y continúe por el resto.

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas

Empresa

Avisos legales

Cuenta

Copyright © 2024 Palo Alto Networks. Todos los derechos reservados.