Mencegah ‘Rahasia’ Cloud Anda dari Paparan Publik: Solusi plugin IDE

  • Whatsapp
Mencegah 'Rahasia' Cloud Anda dari Paparan Publik: Solusi plugin IDE

Saya yakin Anda akan setuju bahwa, di dunia digital saat ini, sebagian besar aplikasi yang kami kerjakan memerlukan beberapa jenis kredensial – untuk terhubung ke database dengan nama pengguna/kata sandi, untuk mengakses program komputer melalui token resmi, atau kunci API untuk memanggil layanan untuk otentikasi.

Kredensial, atau terkadang hanya disebut sebagai ‘Rahasia’, adalah bagian dari informasi rahasia tingkat pengguna atau sistem yang harus dilindungi dengan hati-hati dan hanya dapat diakses oleh pengguna yang sah. Kita semua tahu betapa pentingnya menjaga aset ini tetap aman untuk mencegah penyalahgunaan dan pelanggaran akun.

Bacaan Lainnya

Pemeriksaan realitas: Seberapa sering Anda melakukan upaya proaktif untuk melindungi aset-aset ini? Jarang, saya akan mengatakan.

Di antara kesalahan terburuk yang dapat dilakukan pengembang dalam hal keamanan aplikasi adalah secara tidak sengaja memberikan informasi rahasia secara publik di Internet. Anehnya, rahasia dan kredensial secara tidak sengaja bocor lebih sering daripada yang Anda duga, dan ada alat cerdas yang memindai repositori publik untuk mencari rahasia yang berkomitmen.

Dengan misi memberdayakan pengembang untuk mengendalikan integritas kode mereka sendiri, Sonar Lint, ekstensi IDE sumber terbuka dan gratis dari SonarSource, baru-baru ini mengumumkan fitur baru untuk perangkat lunaknya yang bertujuan membantu pengembang mengidentifikasi dan mencegah kebocoran kredensial autentikasi tingkat sistem atau pengguna AWS sebelum mereka berkomitmen ke repositori dan bocor dari sumber lokal pengguna kode atau file.

Apakah ini terdengar menarik bagi Anda? Lanjutkan membaca untuk mengetahui lebih lanjut.

Pertama – mengapa Anda harus peduli

Mari luangkan waktu sejenak untuk melihat ke belakang sedikit dan melihat mengapa fitur SonarLint baru ini menjadi sangat penting dan berguna bagi pengembang mana pun.

Di suatu tempat dalam hidup Anda, Anda mungkin telah menggunakan kartu kredit untuk pembelian online dan segera menerima telepon dari perusahaan kartu kredit yang menanyakan apakah Anda berniat untuk melanjutkan pembelian. Jika Anda melakukannya, tidak masalah, semuanya baik-baik saja. Jika tidak, aktivitas penipuan baru saja tertangkap sebelum transaksi selesai – menyelamatkan Anda dan perusahaan kartu kredit Anda dari kerumitan akun yang disusupi setelahnya.

Hal yang sama berlaku untuk pengembangan kode.

Mungkin ada koneksi berulang ke database berbasis cloud sebagai bagian dari proses pengembangan dan pengiriman kode, atau Anda mungkin memerlukan kredensial untuk mengakses API dari perusahaan pihak ketiga.

Dalam proses itu, ada kemungkinan Anda mengkodekan kredensial sementara untuk memudahkan penggunaan, atau kolega mungkin telah menambahkan informasi rahasia untuk pengujian lokal cepat, dan kemudian secara tidak sengaja memasukkan file tersebut ke repositori publik. Dan…perubahan sementara itu sekarang menjadi permanen….Yiks! Bahkan dengan penghapusan kode setelahnya, masih ada kemungkinan seseorang membuat salinan rahasia Anda sebelum pembersihan.

Hal berikutnya yang Anda tahu, seseorang telah mengkompromikan akun, atau lebih buruk lagi, celah keamanan kecil ini telah memberi seseorang titik pementasan kecil untuk pelanggaran infrastruktur yang lebih besar.

Pelanggaran jenis ini lebih umum dan berpotensi menimbulkan bencana daripada yang mungkin Anda sadari. Ada sejumlah artikel berita dalam setahun terakhir yang menyoroti insiden di mana pengguna jahat telah mencuri kunci API yang disematkan di repositori kode sumber publik seperti GitHub dan BitBucket. StackOverflow, Uber dan baru-baru ini Shopify adalah contoh insiden keamanan tingkat tinggi di mana rahasia yang ditaburkan di file yang dapat dilihat publik menciptakan kekacauan. Bayangkan kerusakan yang bisa terjadi pada reputasi merek.

Kesalahan manusia akan terus terjadi, tetapi dengan melakukan pemeriksaan yang tepat pada waktu yang tepat, kesalahan dapat dicegah agar tidak terjadi sejak awal. Kasus sebelumnya mengilustrasikan bagaimana pengungkapan ‘rahasia’ yang terdeteksi pada titik pendahuluan yang relevan, misalnya selama pemrograman atau sesaat sebelum melakukan kode Anda, dapat menyelamatkan banyak masalah.

Tempat terbaik untuk mendeteksi dan mengatasi masalah ini dalam alur kerja pengembangan Anda adalah di bagian paling awal, yaitu di lingkungan pengembangan terintegrasi IDE Anda. Ada banyak perusahaan besar yang telah mempelajari pelajaran ini dengan cara yang sulit.

Aturan lanjutan yang mendeteksi rahasia AWS di-IDE

Dengan penambahan aturan baru baru-baru ini untuk mendeteksi rahasia cloud, SonarLint melindungi kredensial autentikasi AWS dan kredensial Amazon Marketplace Web Service (MWS) agar tidak bocor secara publik. Simak aturannya yang melindungi token autentikasi MWS, Kunci Akses AWS, ID Kunci, dan token Sesi.

SonarLint melindungi kredensial Anda dari kebocoran publik dengan bertindak sebagai garis pertahanan pertama Anda. Dengan menandai masalah pada titik pendahuluan (yaitu, menggeser deteksi masalah lebih jauh ke kiri), Anda dapat mengambil tindakan segera dan mencegah kebocoran sejak awal.

Rahasia Awan

Hal ini penting karena akun yang disusupi tidak hanya memiliki konsekuensi individu atau tingkat sumber daya, seperti kemungkinan peretasan akun, tetapi juga konsekuensi yang merugikan bagi kerahasiaan pelanggan Anda. Misalnya, token MWS yang disusupi dapat digunakan untuk mendapatkan akses ilegal ke database yang berisi informasi pelanggan seperti nomor kartu kredit, email, alamat pengiriman, dan catatan penjualan pedagang.

Dengan SonarLint terinstal di IDE Anda, aturan deteksi ‘Rahasia’ ini akan memungkinkan Anda untuk mengetahui keberadaan kredensial tersebut pada titik masuk pertama yaitu, dalam kode sumber atau dalam file agnostik bahasa (misalnya, xml, yaml, json) sebelum mereka berkomitmen untuk repo.

Selain mengidentifikasi masalah tersebut, SonarLint juga dapat memberikan panduan yang jelas tentang cara mengatasinya. Anda kemudian memiliki fleksibilitas penuh untuk mengambil tindakan dan menangani kode yang ditandai; membawa Anda selangkah lebih dekat untuk memberikan kode aman.

Memulai IDE Anda

Fitur ini saat ini didukung di IDE populer seperti VS Code, IntelliJ IDEA, PyCharm, CLion, WebStorm, PHPStorm, dan Rider, dengan Visual Studio, Eclipse, dan banyak lagi yang akan menyusul.

Untuk mulai mengamankan basis kode Anda, Anda dapat mengunduh SonarLint untuk Kode VS atau SonarLint untuk IDE JetBrains Anda. Atau jika Anda sudah menggunakan SonarLint di IDE Anda, Anda cukup memperbarui plugin ke versi terbaru untuk mengaktifkan fitur ini.

Sebagai langkah selanjutnya, perusahaan juga berencana untuk memperluas fungsi deteksi ‘Rahasia’ ke penyedia cloud publik lainnya. Di masa mendatang, Anda dapat mengharapkan SonarLint untuk mendukung lebih banyak penyedia cloud, produk SaaS, dan penyedia basis data.

Pengembang yang menggunakan solusi SonarSource lainnya – SonarQube atau SonarCloud untuk memberikan kode yang berkualitas dan aman dapat memperluas pengalaman keamanan kode mereka ke IDE mereka. Dengan menginstal SonarLint secara gratis, mereka tidak hanya dapat langsung memperoleh manfaat dari fitur-fitur canggih seperti deteksi rahasia, tetapi juga meningkatkan kualitas kode secara keseluruhan dan keamanan basis kode mereka dengan berbagi aturan dan pengaturan analisis dari SonarQube atau SonarCloud ke SonarLint untuk menyatukan seluruh tim pengembangan pada satu definisi kesehatan kode.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *