Beyond Identity, aanbieder van oplossingen van wachtwoordloze multi-factor authenticatie (MFA), introduceert Secure DevOps. Dit is een nieuwe oplossing die de softwaretoevoerketen helpt tegen bedreigingen door insiders en cyberaanvallen van buitenaf. Secure DevOps is een veilige en geautomatiseerde methode die ervoor zorgt dat alle broncode die aan GitHub-, GitLab- en Bitbucket-repository’s wordt toevertrouwd digitaal door een developer wordt ondertekend met een geverifieerde bedrijfsidentiteit.
Veel organisaties hebben hun softwareontwikkelingsproces in de cloud ondergebracht. Daarmee is de build-omgeving uitgegroeid tot een aantrekkelijk doelwit voor cybercriminelen die een uitgebreide aanwezigheid willen krijgen binnen de IT-omgevingen van organisaties. De kwetsbaarheid van de softwaretoevoerketen en de kans op schade is door de hacks van SolarWinds en Kaseya duidelijker dan ooit.
Eenmalige installatie
De oplossing van Beyond Identity waarborgt de betrouwbaarheid van sleutels voor het ondertekenen van broncode door ze aan een bedrijfsidentiteit en een specifiek apparaat te koppelen. Na een uiterst eenvoudige, eenmalige installatie voor engineers en DevSecOps-teams genereert de oplossing onverplaatsbare GNU Privacy Guard (GPG)-sleutels die gekoppeld zijn aan, en beveiligd worden in hardware-enclaves op computersystemen die door de werkgever zijn verstrekt. Deze aanpak biedt niet alleen meer grip op de beveiliging, maar ook de optie om sleutels in te trekken. Op die manier kan de herkomst van broncode volledig worden herleid met het oog op kwaliteitscontroles en forensische audits. In het verleden moesten developers bij key management-as-a-service zelf de sleutels beheren, zonder over consistente en veilige opslagmogelijkheden te beschikken. Daarmee werd de mogelijkheid opengelaten voor het riskante gedrag om sleutels op relatief eenvoudige wijze naar meerdere apparaten te verplaatsen.
De snelheid en sterk gedistribueerde aard van agile processen voor softwareontwikkeling maakt het echter moeilijk om strenge beveiligingsmechanismen toe te passen. Bovendien is het momenteel vrijwel onmogelijk om de herkomst van broncode te herleiden, omdat developers de code die zij aan zakelijke repository’s toevertrouwen vaak niet ondertekenen. En developers die dat wel doen maken daarvoor meestal gebruik van sleutels die aan een persoonlijke identiteit zijn gekoppeld in plaats van een geverifieerde bedrijfsidentiteit. Momenteel omvat het ondertekenen van code een handmatig proces dat om centraal sleutelbeheer vraagt. Daarbij is sprake van een wildgroei aan sleutels en zijn de sleutels niet betrouwbaar omdat ze van het ene naar het andere apparaat kunnen worden verplaatst. Een veel voorkomend gebruik is het ondertekenen van de uitvoerbare bestanden die de CI/CD-pipeline verlaten, maar dit waarborgt alleen maar dat de productiecode door de organisatie is ontwikkeld. Het voorafgaande stadium in dit proces blijft zo vatbaar voor cybercriminelen en developers met kwade bedoelingen.
20 en 21 mei 2025 Deze 2-daagse cursus is ontworpen om dataprofessionals te voorzien van de kennis en praktische vaardigheden die nodig zijn om Knowledge Graphs en Large Language Models (LLM's) te integreren in hun workflows voor datamodelleri...
22 mei 2025 Workshop met BPM-specialist Christian Gijsels over AI-Gedreven Business Analyse met ChatGPT. Kunstmatige Intelligentie, ongetwijfeld een van de meest baanbrekende technologieën tot nu toe, opent nieuwe deuren voor analisten met innovatie...
17 t/m 19 november 2025 De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Management Professional (CDMP) certificatie biedt een traject voor het inleidende niveau (Associate) tot...
Alleen als In-house beschikbaarWorkshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 16.Intensieve cursus waarin de belangrijkste basisfunc...
Deel dit bericht