1Password امنیت توسعه دهندگان را با مجموعه ابزار جدید تشویق می کند
1Password امنیت توسعه دهندگان را با مجموعه ابزار جدید تشویق می کند
سازنده مدیریت رمز عبور تلاش می کند توسعه دهندگان نرم افزار را تشویق کند تا مدیریت مخفی ایمن تری را اتخاذ کنند و در عین حال ویژگی های جدیدی را به محصول شاخص خود اضافه کند.
1Password که با نام Developer Tools راه اندازی شد، اعلام کرد که ویژگی های جدید به توسعه دهندگان کمک می کند تا به راحتی و ایمن اسرار را در جریان های کاری عادی ایجاد، مدیریت و دسترسی داشته باشند.
او افزود که این ابزارها همچنین به سادهسازی فرآیندهای پیچیده و بهبود شیوههای امنیتی برای اطمینان از محافظت از دادهها، بدون کاهش سرعت مسیر توسعه کمک میکنند، و همچنین به توسعهدهندگان دسترسی ایمن به اسرار مورد نیازشان در هر کجا که هستند، بدون توجه به دستگاهی که هستند، ارائه میکنند. در حال استفاده
کیسی بیسون، رئیس روابط محصول و توسعهدهنده در BluBracket، یک ارائهدهنده کد، خاطرنشان میکند: «از لحاظ تاریخی، یکی از بزرگترین محدودیتهای رمزگذاری و عملیات ایمن، ابزارهایی برای مدیریت ایمن اسرار بوده است – رمزهای عبور و کلیدهای مورد نیاز برای اتصال ایمن مؤلفهها.
او به TechNewsWorld گفت: “در بسیاری از موارد، این اسرار در کد ذخیره می شوند. اما یک راز در کد، رازی است که گفته می شود.”
با استناد به مطالعه 1Password، محصول ارشد و مدیر کل Emerging Solutions Akshay Bhargava به TechNewsWorld گفت که از هر چهار کارمند شرکتهای IT DevOps یک اسرار در 10 مکان یا بیشتر دارد و آنها را با همکارانی که از کانالهای ناامن استفاده میکنند، به اشتراک گذاشته است. یا پیام شل.
او اضافه کرد که از هر سه کارمند IT DevOps یک نفر میگوید که اگر به آنها کمک کند کارشان را سریعتر انجام دهند، اسرار را از طریق کانالهای ناامن به اشتراک میگذارند.
وی ادامه داد: علاوه بر این، 61 درصد پروژه ها به دلیل سوء مدیریت اسرار به تعویق افتاده است.
مدیریت آسان کلید SSH
ویژگیهای جدید در پیشنهاد Developer Tools شامل مدیریت کلید SSH است که به توسعهدهندگان اجازه میدهد کلیدهای SSH را تنها با چند کلیک ذخیره و استفاده کنند.
برای جلوگیری از خطاها، 1Password برای مرورگر به طور خودکار کلیدهای عمومی توسعه دهنده را در سایت های محبوب از جمله GitHub، GitLab، BitBucket و Digital Ocean پر می کند.
سپس، با استفاده از عامل داخلی SSH، کاربران میتوانند کد را به GitHub فشار دهند و سایر گردشهای کاری SSH را در ترمینال به سادگی با اسکن اثر انگشت خود تأیید اعتبار کنند و با تلاش کمتر، امنیت را افزایش دهند.
توسعهدهندگان دیگر نیازی به یادآوری یا تایپ عبارتهای عبور کلید، کپی دستی کلیدها در دستگاههای جدید، یا ذخیره فایلها در دیسک خود ندارند، بنابراین از رمزگذاری ضعیف برای کلیدهای SSH و سایر خطرات امنیتی جلوگیری میکنند.
مارسل کرستن، توسعهدهنده نرمافزار در ComLine GmbHd، در بیانیهای گفت: «تمام دردسرهای مبادله کلید در دستگاههای مختلف، افزودن و حذف کلیدها از پروکسی، و وارد کردن عبارتهای عبور از کلیدها، اکنون تنها یک تأیید هویت بیومتریک است.
CLI و Secrets Vault جدید
یک رابط خط فرمان جدید، با نحو بهبود یافته و باز کردن قفل بیومتریک جدید، به توسعه دهندگان این امکان را می دهد که به سرعت اسرار را مدیریت کنند، کاربران را تهیه کنند یا گردش کار ترمینال را خودکار کنند بدون اینکه از ابزارهای توسعه خود جابجا شوند یا رمزهای عبور را تایپ کنند.
Developer Tools همچنین مدیریت کلید را با وارد کردن و اجرای دستورات CLI ساده میکند و به توسعهدهندگان اجازه میدهد تا با مراجع مخفی کدنویسی کنند که در زمان اجرا با کلیدهای API واقعی از فروشگاه خود جایگزین میشوند.
کریگ هاسلر، مدیر پروژه در TechSource، در بیانیهای گفت: «1Password CLI جدید به تیم توسعه وب ما اجازه داد تا در زمان همگامسازی گذرواژهها و کلیدهای API به روشی امنتر از قبل ممکن صرفهجویی کنند».
او افزود: “من به هر تیم توسعه وب توصیه می کنم که از ابزارهای 1Password CLI برای افزایش امنیت و کارایی استفاده کند.”
مخازن رمزگذاری شده برای ذخیره اسرار به جای رمزگذاری یا ذخیره آنها به عنوان متن ساده ناامن، در فایل های پیکربندی یا در صفحات گسترده، توسعه دهندگان می توانند اسرار خود را در یک مکان در ابزارها و گردش کار مورد علاقه خود مدیریت کرده و به آنها دسترسی داشته باشند.
ذخیره اسرار در مخازن رمزگذاری شده و به عنوان یکی از انواع اشیاء مجازی – یک اعتبار API، یک حساب AWS، پایگاه داده، سرور یا کلید SSH – به جلوگیری از رخنه های ناشی از اسرار فاش شده کمک می کند.
Developer Tools همچنین با فراهم کردن دسترسی ایمن به اسرار در سراسر تیم، همکاری را تسهیل میکند.
میانبرهای مهار
هدف ابزارهای جدید 1Password تشویق توسعه دهندگان به مدیریت بهتر اسرار و منع آنها از بریدن گوشه هایی است که می تواند خطرات امنیتی ایجاد کند.
دانیل کندی، مدیر تحقیقات امنیت اطلاعات و شبکه، در 451 Research، بخشی از S&P Global Market Intelligence، توضیح داد: «این خیلی به کاهش، مانند یافتن راهی برای کار در مهلتهای تعیینشده و تلاش برای کارآمدی هرچه بیشتر نیست. .
سازمانها انواع فرآیندهای خوشنیت، اسکن کد و سایر ابزارهای آزمایش برنامه را نصب میکنند، و اگر آنقدر در زندگی روزمره توسعهدهندگان اصطکاک ایجاد کنند که فکر کنند بار آن بیشتر از ارزش است، آژانسهای زیادی دارند، گاهی اوقات آژانس پنهان. او به TechNewsWorld گفت، برای غلبه بر این اشکالات.
جان بامپنیک، شکارچی اصلی تهدید در Netenrich، یک شرکت عملیات فناوری اطلاعات و امنیت دیجیتال در سن خوزه، کالیفرنیا، افزود: «توسعهدهندگان برای تأمین امنیت پولی دریافت نمیکنند».
او به TechNewsWorld گفت: “آنها اغلب بر اساس برنامه های فشرده کار می کنند تا با عجله وارد بازار شوند، به این معنی که هرگونه تاخیر، حتی برای امنیت، می تواند از سر راه خود حذف شود.”
رژ لب روی خوک امنیتی
به طور سنتی، امنیت به عنوان کاهش سرعت توسعه دهندگان دیده می شود. Larry Maccherone، منادی تحول DevSecOps خاطرنشان میکند: «لازم نیست اینطور باشد، و فروشندگان جدید – فروشندگان واقعی DevSecOps – به این فکر رسیدهاند و توسعهدهندگان دوست دارند از آنها استفاده کنند، زیرا در واقع توسعه را سرعت میبخشند تا سرعت آن را کاهش دهند. در Contrast Security، سازنده راهحلهای نرمافزاری خود محافظت در لس آلتوس، کالیفرنیا.
او به TechNewsWorld گفت: «با این حال، اکثر فروشندگان ابزار امنیتی فقط رژ لب DevOps روی یک گراز امنیتی سنتی هستند.
جاش پرسرز، معاون امنیت در Anchore، یک شرکت توسعه نرم افزار امنیتی در سانتا باربارا، کالیفرنیا، گفت که DevSecOps احساس مسئولیت مشترک در دنیای توسعه ایجاد کرده است.
اگر به مدلهای توسعه سنتیتر نگاه کنید، توسعه دارید، آزمایش دارید، امنیت دارید، همه این ترکیبهای مختلف با اهداف کمی متفاوت دارید.» به TechNewsWorld بگویید. “وقتی شما گروه های مختلف با اهداف متفاوت دارید، نتایج متفاوتی می گیرید. در DevSecOps، جایی که شما مسئولیت را به اشتراک می گذارید، اهداف هماهنگ تر می شوند.”
کندی افزود: «وقتی به این فکر میکنید که چگونه اکثر شرکتها در ابتدا به تولید کد امن نزدیک میشوند، که مبانی کدهای عظیم را اسکن میکرد و سپس پروژههای پاکسازی عظیم را انجام میداد، ما راه درازی را پیمودهایم».
وی ادامه داد: ورود امنیت به عنوان پروژه ای که در شرف تولید است با صدها آسیب پذیری که نیاز به پاکسازی دارد، رویکرد موثری برای امنیت اپلیکیشن نیست. “اگر بتوان اسکن را به صورت تدریجی در نقاط مناسب در خط لوله توسعه انجام داد، این یک راه بسیار کمتر بدون اصطکاک برای اطمینان از ساخت و به روز رسانی برنامه ها با در نظر گرفتن امنیت است.”