स्रोत कोड लीक – हमने क्या सीखा और आप अपने आईपी की सुरक्षा कैसे कर सकते हैं

इस सप्ताह हमने एक के बारे में सीखा 50 प्रमुख कंपनियों से स्रोत कोड का रिसावएक स्विस आईटी सलाहकार द्वारा पोस्ट किया गया। ये निंटेंडो से स्रोत कोड के एक और हालिया रिसाव के बाद आते हैं, जिससे हमें आईपी सुरक्षा और सुरक्षित विकास पाइपलाइनों के मुद्दे पर टिप्पणी करने के लिए प्रेरित किया जाता है।

नवीनतम रिसाव मुख्य रूप से सोनारक्यूब की गलत धारणा से, स्थिर कोड विश्लेषण के लिए एक ओपन-सोर्स टूल से स्टेम करने के लिए प्रकट होता है, जो अनुमति देता हैरों डेवलपर्स तैनाती से पहले बग और कमजोरियों के लिए अपने कोड का ऑडिट करते हैं।

हमारे अपने आकलन में पाया गया कि सोनारक्यूब पोर्ट 9000 पर संचार करता है, जो कि था गलत अनुमान लगाया गया सेवा के लिए इंटरनेट के लिए खुला हो का उल्लंघन हुआ कंपनियां, शोधकर्ताओं को एक्सेस हासिल करने और लीक में अब सामने आए आंकड़ों की खोज करने की अनुमति देती हैं।

लोकप्रिय IoT खोज इंजन Shodan पर सोनारक्यूब की खोज किसी को भी इस तरह के आम सॉफ्टवेयर द्वारा उपयोग किए जाने वाले बंदरगाहों की खोज करने की अनुमति देता है। इस जानकारी के साथ इतनी आसानी से उपलब्ध, पोर्ट अनायास ही खुला छोड़ दिया घुसपैठ के प्रयासों की एक विस्तृत कड़ी पेश कर सकते हैं।

स्रोत कोड रिपॉजिटरी में से कई भी निहित हार्ड-कोडेड क्रेडेंशियल्स, जो खुलते हैं दरवाजा करने के लिए पहुंचआईएनजी अन्य संसाधनों और उल्लंघन का विस्तार। अपनी रिपॉजिटरी के लिए हार्ड-कोडेड / प्लेनटेक्स्ट क्रेडेंशियल्स के साथ कोड कभी नहीं करने के लिए यह एक सर्वोत्तम अभ्यास है।

आप अपने आईपी को कैसे सुरक्षित रख सकते हैं

गलतफहमी और दुर्घटना जैसी गलतियाँ क्रेडेंशियल एक्सपोजर विकास प्रक्रिया में होगा, जहां इंफोसेक टीमों को कदम बढ़ाने की जरूरत है। डेऑप्स और सीआई / सीडी का अभ्यास करने वाली कंपनियों के लिए इंफ्रास्ट्रक्चर कोड की तैनाती और उत्पादन में लगातार ऑडिट करना आवश्यक है।

इस समस्या का हमारा समाधान है MVISION क्लाउड, उद्यमों के लिए बहु-क्लाउड सुरक्षा प्लेटफ़ॉर्म उनके डेटा की सुरक्षा, खतरों को रोकने और बनाए रखने के उनके क्लाउड-मूल एप्लिकेशन के लिए सुरक्षित तैनाती।

गलतफहमी के लिए ऑडिट क्लाउड खाते

MVISION क्लाउड इन्फोसेक टीमों के साथ कर सकते हैं मॉनिटर उनके साथीy के सार्वजनिक क्लाउड खाते, जैसे AWS, Azure, या GCP, कॉन्फ़िगरेशन गलतियों के लिए जो संवेदनशील डेटा को उजागर कर सकते हैं। नीचे दिए गए उदाहरण में, MVISION क्लाउड ने पाया कि एक संसाधन में AWS EC2 को 80/443 के अलावा अन्य बंदरगाहों पर अप्रतिबंधित पहुंच के साथ कॉन्फ़िगर किया गया था, खोलने संभावित उल्लंघन के परिदृश्य जैसे हमने स्रोत कोड लीक के साथ देखे।

भेद्यता के लिए स्कैन एप्लीकेशन कोड

सक्रिय कंटेनर तैनाती वाली कंपनियों को यह एक कदम आगे ले जाना चाहिए, न केवल गलतफहमी के लिए ऑडिट करना बल्कि उनकी कंटेनर छवि में CVEs भीरों। नीचे दिए गए उदाहरण में, MVISION क्लाउड ने पाया कि एक कंटेनर छवि निहित 219 कोड भेद्यता, जिनमें से कई का एक हमले में फायदा उठाया जा सकता है।

हार्ड-कोडेड क्रेडेंशियल के लिए स्कैन रिपॉजिटरी और गुप्त कुंजी

के जोखिम को कम करने के लिए क्रेडेंशियल या गुप्त कुंजी एक्सपोज़र, MVISION क्लाउड के भीतर आप आसानी से अपने रिपॉजिटरी को विनिर्देश के लिए स्कैन कर सकते हैंc डेटा प्रकार तथा लेना कई स्तररों कार्रवाई के। नीचे हमने Bitbucket को स्कैन करने के लिए एक नीति सेट करें और Github हमारी डेटा हानि रोकथाम (DLP) डेटा पहचानकर्ताओं के साथ के लिये AWS कुंजी और पासवर्ड। साथ में पीकीवर्ड, हम कीवर्ड सत्यापन का उपयोग कर रहे हैं, जिसका अर्थ है कि हम केवल एक घटना को ट्रिगर करेंगे यदि कोई कीवर्ड पसंद करता है लोक निर्माण विभाग, p, या पासवर्ड पास है। हमने हालांकि, कम से कम विघटनकारी कार्रवाई को चुना – खुद को निकालने के लिए अंतिम उपयोगकर्ता को सूचित करना, हालांकि का विकल्प हटाना डेटा भी उपलब्ध है।

DevOps की गति कंपनियों को तेज़ी से नया करने की अनुमति दे रही है, लेकिन पाइपलाइन में निर्मित सुरक्षा ऑडिटों के बिना, ग़लतफ़हमी और असुरक्षित कोड किसी का ध्यान नहीं जा सकता और डेटा को उजागर कर सकता है एक उल्लंघन में। हम DevOps से आंदोलन को दृढ़ता से प्रोत्साहित करते हैं DevSecOps, अनुप्रयोग विकास के मानक अभ्यास में इस ऑडिट प्रक्रिया का निर्माण।

MVISION क्लाउड आपको कैसे लागू करने में सक्षम कर सकता है, इस पर अधिक जानकारी के लिए DevSecOps अभ्यास, साथ संपर्क में हैं आज हमें।