Beyond Identity lanceert Secure DevOps

Beyond Identity, aanbieder van oplossingen van wachtwoordloze multi-factor authenticatie (MFA), introduceert Secure DevOps. Dit is een nieuwe oplossing die de softwaretoevoerketen helpt tegen bedreigingen door insiders en cyberaanvallen van buitenaf. Secure DevOps is een veilige en geautomatiseerde methode die ervoor zorgt dat alle broncode die aan GitHub-, GitLab- en Bitbucket-repository’s wordt toevertrouwd digitaal door een developer wordt ondertekend met een geverifieerde bedrijfsidentiteit.

Veel organisaties hebben hun softwareontwikkelingsproces in de cloud ondergebracht. Daarmee is de build-omgeving uitgegroeid tot een aantrekkelijk doelwit voor cybercriminelen die een uitgebreide aanwezigheid willen krijgen binnen de IT-omgevingen van organisaties. De kwetsbaarheid van de softwaretoevoerketen en de kans op schade is door de hacks van SolarWinds en Kaseya duidelijker dan ooit.

Eenmalige installatie
De oplossing van Beyond Identity waarborgt de betrouwbaarheid van sleutels voor het ondertekenen van broncode door ze aan een bedrijfsidentiteit en een specifiek apparaat te koppelen. Na een uiterst eenvoudige, eenmalige installatie voor engineers en DevSecOps-teams genereert de oplossing onverplaatsbare GNU Privacy Guard (GPG)-sleutels die gekoppeld zijn aan, en beveiligd worden in hardware-enclaves op computersystemen die door de werkgever zijn verstrekt. Deze aanpak biedt niet alleen meer grip op de beveiliging, maar ook de optie om sleutels in te trekken. Op die manier kan de herkomst van broncode volledig worden herleid met het oog op kwaliteitscontroles en forensische audits. In het verleden moesten developers bij key management-as-a-service zelf de sleutels beheren, zonder over consistente en veilige opslagmogelijkheden te beschikken. Daarmee werd de mogelijkheid opengelaten voor het riskante gedrag om sleutels op relatief eenvoudige wijze naar meerdere apparaten te verplaatsen.

De snelheid en sterk gedistribueerde aard van agile processen voor softwareontwikkeling maakt het echter moeilijk om strenge beveiligingsmechanismen toe te passen. Bovendien is het momenteel vrijwel onmogelijk om de herkomst van broncode te herleiden, omdat developers de code die zij aan zakelijke repository’s toevertrouwen vaak niet ondertekenen. En developers die dat wel doen maken daarvoor meestal gebruik van sleutels die aan een persoonlijke identiteit zijn gekoppeld in plaats van een geverifieerde bedrijfsidentiteit. Momenteel omvat het ondertekenen van code een handmatig proces dat om centraal sleutelbeheer vraagt. Daarbij is sprake van een wildgroei aan sleutels en zijn de sleutels niet betrouwbaar omdat ze van het ene naar het andere apparaat kunnen worden verplaatst. Een veel voorkomend gebruik is het ondertekenen van de uitvoerbare bestanden die de CI/CD-pipeline verlaten, maar dit waarborgt alleen maar dat de productiecode door de organisatie is ontwikkeld. Het voorafgaande stadium in dit proces blijft zo vatbaar voor cybercriminelen en developers met kwade bedoelingen.