AI-SPM est accessible à l’ensemble des utilisateurs Prisma® Cloud dans le cadre du déploiement de Secure AI by Design    Explorer!
Recherche

Secrets Security

Une approche complète et multidimensionnelle pour détecter et sécuriser les secrets exposés et vulnérables dans tous les fichiers de vos référentiels et pipelines CI/CD
Demandez votre essai gratuit
secrets-gitlab
secrets-projects

Les développeurs utilisent des secrets pour permettre aux applications de communiquer de façon sécurisée avec d’autres services cloud. Mais le stockage de ces données dans les fichiers de systèmes de contrôle des versions (VCS) tels que GitHub n’est pas sécurisé et peut entraîner l’apparition de vulnérabilités exploitables. Ce danger se manifeste lorsque les développeurs oublient d’effacer les secrets dans le code source. Le problème, c’est qu’une fois une telle information publiée dans un référentiel, elle est enregistrée dans son historique. Résultat : n’importe quel utilisateur peut facilement y accéder. Le risque est d’autant plus grand lorsque le contenu des référentiels est rendu public, ce qui permet aux attaquants de repérer facilement ces ressources pour les utiliser à mauvais escient.

La plupart des outils se contentent de scanner les secrets au cours d’une seule des phases du cycle applicatif. Ils peuvent donc entièrement passer à côté de certains types de secrets. Prisma® Cloud, en revanche, vérifie qu’aucun secret n’est exposé accidentellement et réduit le nombre de faux positifs sans ralentir la cadence de développement.

1

Les secrets codés en dur sont courants dans le développement cloud-native

Si le codage en dur des identifiants simplifie la tâche des développeurs, il constitue néanmoins une pratique dangereuse, notamment dans le domaine du développement matriciel ainsi que dans les référentiels cloud. Et une pratique répandue de surcroît, puisque 41 % des référentiels abritent des secrets.
2

L’exposition publique amplifie le risque

Les secrets se retrouvent souvent exposés dans les référentiels publics, dans les systèmes VCS ou les registres. Par ailleurs, tout secret ajouté directement au code source, aux modèles IaC ou encore aux fichiers de configuration CI/CD peut être visible dans un système VCS ou exposé de façon accidentelle dans les journaux de build.
3

Les outils cloisonnés génèrent une sécurité inégale

Les outils individuels d’analyse des secrets n’offrent pas toujours une couverture homogène sur les environnements de build et runtime. Faute de les intégrer à une stratégie CNAPP globale, les entreprises se retrouvent avec une visibilité seulement partielle sur le risque.

Prisma Cloud, une solution simple contre l’exposition de secrets durant le build et le runtime

Prisma Cloud s’intègre aux outils DevOps et analyse en permanence les secrets exposés pendant tout le cycle de développement, du code au runtime, en passant par le build et le déploiement. Son approche multidimensionnelle, qui combine une bibliothèque de politiques basées sur les signatures et un modèle d’entropie optimisé, lui permet de détecter les secrets dans presque n’importe quel type de fichier, y compris les modèles IaC, les images gold et les référentiels Git.
  • Les méthodes de détection plurielles repèrent les secrets complexes comme les chaînes et les mots de passe aléatoires.
  • Les facteurs de risques contextualisent les secrets afin d’accélérer la priorisation et la remédiation.
  • La solution s’intègre nativement aux outils et workflows de développement.
  • 100+ signature library.
    Bibliothèque de plus de 100 signatures
  • Fine-tuned entropy model.
    Modèle d’entropie optimisé
  • Supply chain visualization.
    Visualisation de la supply chain
  • Broad coverage.
    Couverture étendue
  • Detection pre-commit in VCS and CI pipelines.
    Détection pre-commit dans les systèmes VCS et les pipelines CI
  • Detection in running workloads and apps.
    Détection dans les workloads et les applications en cours d’exécution
LA SOLUTION PRISMA CLOUD

Une approche de la sécurité des secrets multidimensionnelle et « developer-first »

Détection précise

Parmi les identifiants les plus couramment reconnus comme exposés figurent les secrets recourant à des expressions régulières : jetons d’accès, clés API, clés de chiffrement, jetons OAuth, certificats et bien d’autres encore. Prisma Cloud s’appuie sur une centaine de signatures pour détecter et alerter la présence de divers secrets utilisant des expressions connues et prévisibles.

  • Couverture étendue

    Plus de 100 détecteurs de secrets spécifiques aux domaines génèrent des alertes précises dans les environnements de développement et d’exécution.

  • Analyse élargie et approfondie

    Détectez les secrets dans tous les fichiers de vos référentiels ainsi que dans les historiques de version de vos intégrations.

Precise detection

Modèle d’entropie optimisé

Les secrets ne sont pas tous pourvus de schémas cohérents ou identifiables. Par exemple, les méthodes basées sur les signatures sont incapables de détecter les noms d’utilisateurs et les mots de passe qui reposent sur des chaînes aléatoires. Résultat, certains secrets restent potentiellement exposés et accessibles publiquement. Prisma Cloud enrichit cette approche à l’aide d’un modèle d’entropie optimisé.

  • Modèle d’entropie optimisé

    Éliminez les faux positifs grâce à un modèle d’entropie optimisé qui exploite le contexte des chaînes pour détecter précisément les types de secrets complexes.

  • Visibilité inégalée

    Obtenez une visibilité et une maîtrise complètes sur tous les types de secrets utilisés par les développeurs cloud.

Fine-tuned entropy model

Feedback des développeurs

Les développeurs peuvent analyser les risques d’exposition ou de vulnérabilité des secrets via différentes méthodes :

  • Projets

    Les intégrations natives aux workflows de développement mettent au jour les secrets détectés dans les fichiers non conformes.

  • Supply chain

    Le graphe de la supply chain affiche les nœuds des fichiers de code source. Une investigation détaillée de l’arborescence des dépendances aide les développeurs à identifier la cause racine de l’exposition des secrets.

  • Commentaires de pull request

    Les utilisateurs peuvent facilement détecter et supprimer les secrets potentiellement divulgués pendant l’analyse de leurs pull requests.

  • Hooks pre-commit et intégrations CI

    Bloquez l’envoi de secrets vers un référentiel avant l’ouverture d’une pull request via un hook pre-commit.

Developer feedback

Intégration à la plateforme CNAPP

Le seul moyen de garantir une sécurisation complète des applications cloud-native consiste à inclure l’analyse des secrets dans toutes les couches et à toutes les étapes du cycle de développement. Le module Secrets de Prisma Cloud s’active en un clic et fait partie intégrante de la plateforme de protection des applications cloud-native la plus complète du marché.

  • Détectez les secrets dans la supply chain

    Recherchez la présence de secrets exposés dans les référentiels comme GitHub, de même que dans les registres comme Docker, Quay ou encore Artifactory.

  • Éliminez les secrets exposés durant le runtime

    Bénéficiez d’une visibilité complète code-to-cloud pour détecter les secrets exposés dans les workloads et les ressources cloud en cours d’exécution grâce à des politiques de runtime.

Part of the CNAPP

Modules de sécurité du code

SÉCURITÉ DES INFRASTRUCTURES IAC

Intégration et automatisation de la sécurité IaC dans les workflows de développement

En savoir plus

ANALYSE DE LA COMPOSITION LOGICIELLE (SCA)

Fonctionnalités contextualisées de sécurité du code et de conformité des licences open-source

En savoir plus

SÉCURITÉ DE LA SUPPLY CHAIN LOGICIELLE

Protection complète des pipelines et composants logiciels

En savoir plus

SECRETS SECURITY

Analyse full-stack et multidimensionnelle des secrets sur tous les référentiels et tous les pipelines

En savoir plus
RESSOURCES

Accédez à une mine d’informations sur la sécurité du code

Voir toutes les ressources
FICHE TECHNIQUE

Secrets Security

Télécharger la fiche technique
LIVRE BLANC

Sécurité des secrets : la checklist

Télécharger la fiche technique
RAPPORT D’ANALYSE

Rapport GigaOm Radar consacré aux outils de sécurité pour les développeurs

Télécharger la fiche technique
WEBINARAUFZEICHNUNG

Gros plan : Secrets Security

Visionner le replay
FICHE TECHNIQUE

Code Security

Télécharger la fiche technique

Témoignages de clients

Découvrez comment Pokémon, Sabre et ElevenPaths exploitent toute la puissance de Prisma Cloud pour sécuriser leur stack et leur cycle de développement.

Les fondamentaux de la sécurité du cloud

Développeurs, experts et grands noms du secteur décryptent les tendances DevSecOps et vous livrent leurs conseils pour négocier le virage du « shift-left ».

Blog

Explorez notre blog, à commencer par notre article consacré à la visibilité sur les clusters Kubernetes, gage d’une sécurité renforcée pour vos containers.

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité