Deadshot: Alat yang Menandai Konten Sensitif untuk Pengembang

Deadshot: Alat yang Menandai Konten Sensitif untuk Pengembang

Repositori kode perangkat lunak mungkin menyembunyikan kredensial, data sensitif, dan rahasia lain dari suatu organisasi tanpa sepengetahuan pengembang. Jika informasi ini sampai ke tangan penjahat siber, itu bisa menjadi sumber yang sangat berharga untuk meluncurkan serangan siber, kata pakar keamanan siber di Twilio, yang telah merilis alat open-source yang memperingatkan para pengembang jika mereka secara tidak sengaja melampirkan data pribadi atau sensitif di mereka. kode sebelum mengunggahnya ke repositori.

Dikenal sebagai Deadshot, alat ini mengabaikan permintaan tarik GitHub waktu nyata. Ini menandai kemungkinan penambahan informasi sensitif apa pun dalam kode apa pun, dan bervariasi untuk fungsionalitas sensitif. Menurut insinyur keamanan produk senior di Twilio, Laxman Eppalagudem, yang bekerja pada proyek tersebut mengatakan bahwa tidak mungkin bagi seseorang untuk secara manual memantau seluruh basis kode organisasi, oleh karena itu, tim mereka mengembangkan alat pemantauan otomatis untuk mencari dan menandai data sensitif. .

Bacaan Lainnya

Terapkan dan Lupakan

Perangkat lunak ini akan berfungsi sebagai alat “sebarkan dan lupakan”, karena Deadshot akan bekerja di seluruh basis kode, itu akan memperingatkan penangan proyek jika ada data sensitif yang mengalir keluar dari organisasi. Tim keamanan dapat membedakan apa yang dimonitor alat dan peringatan yang dapat dikirim menggunakan Jira Ticket atau Slack.Komit bocor:Pengungkapan kredensial dan rahasia yang tidak disengaja ke repositori kode selalu menjadi masalah besar, kata manajer produk senior Yashvier Kosaraju. Perangkat lunak ini bertujuan untuk menghilangkan kebutuhan untuk meninjau seluruh basis kode secara manual, menarik permintaan untuk komit data sensitif, yang, kita semua tahu, tidak skala.

Perangkat lunak ini dirancang sedemikian rupa sehingga hanya dapat diinstal pada akun GitHub oleh admin perusahaan. Sesuai Twilio, ini mengurangi Rick peretas yang mengeksploitasi Deadshot untuk tujuan jahat. Menurut The Daily Swig, “GitHub sudah memiliki kemampuan pemindaian keamanan, kata Blore. Pengembang juga dapat menggunakan alat sumber terbuka Gittyleaks untuk memindai kunci API, kata sandi, dan data sensitif lainnya. Twilio secara aktif mencari umpan balik dan permintaan fitur dari Pengguna Deadshot dan komunitas open-source, kata Kosaraju.” Para ahli percaya ini adalah inisiatif yang baik untuk menghindari serangan ransomware.

Pos terkait