1Password امنیت توسعه دهندگان را با مجموعه ابزار جدید تشویق می کند

سازنده مدیریت رمز عبور تلاش می کند توسعه دهندگان نرم افزار را تشویق کند تا مدیریت مخفی ایمن تری را اتخاذ کنند و در عین حال ویژگی های جدیدی را به محصول شاخص خود اضافه کند.

1Password که با نام Developer Tools راه اندازی شد، اعلام کرد که ویژگی های جدید به توسعه دهندگان کمک می کند تا به راحتی و ایمن اسرار را در جریان های کاری عادی ایجاد، مدیریت و دسترسی داشته باشند.

او افزود که این ابزارها همچنین به ساده‌سازی فرآیندهای پیچیده و بهبود شیوه‌های امنیتی برای اطمینان از محافظت از داده‌ها، بدون کاهش سرعت مسیر توسعه کمک می‌کنند، و همچنین به توسعه‌دهندگان دسترسی ایمن به اسرار مورد نیازشان در هر کجا که هستند، بدون توجه به دستگاهی که هستند، ارائه می‌کنند. در حال استفاده

کیسی بیسون، رئیس روابط محصول و توسعه‌دهنده در BluBracket، یک ارائه‌دهنده کد، خاطرنشان می‌کند: «از لحاظ تاریخی، یکی از بزرگترین محدودیت‌های رمزگذاری و عملیات ایمن، ابزارهایی برای مدیریت ایمن اسرار بوده است – رمزهای عبور و کلیدهای مورد نیاز برای اتصال ایمن مؤلفه‌ها.

او به TechNewsWorld گفت: “در بسیاری از موارد، این اسرار در کد ذخیره می شوند. اما یک راز در کد، رازی است که گفته می شود.”

با استناد به مطالعه 1Password، محصول ارشد و مدیر کل Emerging Solutions Akshay Bhargava به TechNewsWorld گفت که از هر چهار کارمند شرکت‌های IT DevOps یک اسرار در 10 مکان یا بیشتر دارد و آنها را با همکارانی که از کانال‌های ناامن استفاده می‌کنند، به اشتراک گذاشته است. یا پیام شل.

او اضافه کرد که از هر سه کارمند IT DevOps یک نفر می‌گوید که اگر به آنها کمک کند کارشان را سریع‌تر انجام دهند، اسرار را از طریق کانال‌های ناامن به اشتراک می‌گذارند.

وی ادامه داد: علاوه بر این، 61 درصد پروژه ها به دلیل سوء مدیریت اسرار به تعویق افتاده است.

مدیریت آسان کلید SSH

ویژگی‌های جدید در پیشنهاد Developer Tools شامل مدیریت کلید SSH است که به توسعه‌دهندگان اجازه می‌دهد کلیدهای SSH را تنها با چند کلیک ذخیره و استفاده کنند.

برای جلوگیری از خطاها، 1Password برای مرورگر به طور خودکار کلیدهای عمومی توسعه دهنده را در سایت های محبوب از جمله GitHub، GitLab، BitBucket و Digital Ocean پر می کند.

سپس، با استفاده از عامل داخلی SSH، کاربران می‌توانند کد را به GitHub فشار دهند و سایر گردش‌های کاری SSH را در ترمینال به سادگی با اسکن اثر انگشت خود تأیید اعتبار کنند و با تلاش کمتر، امنیت را افزایش دهند.

توسعه‌دهندگان دیگر نیازی به یادآوری یا تایپ عبارت‌های عبور کلید، کپی دستی کلیدها در دستگاه‌های جدید، یا ذخیره فایل‌ها در دیسک خود ندارند، بنابراین از رمزگذاری ضعیف برای کلیدهای SSH و سایر خطرات امنیتی جلوگیری می‌کنند.

مارسل کرستن، توسعه‌دهنده نرم‌افزار در ComLine GmbHd، در بیانیه‌ای گفت: «تمام دردسرهای مبادله کلید در دستگاه‌های مختلف، افزودن و حذف کلیدها از پروکسی، و وارد کردن عبارت‌های عبور از کلیدها، اکنون تنها یک تأیید هویت بیومتریک است.

CLI و Secrets Vault جدید

یک رابط خط فرمان جدید، با نحو بهبود یافته و باز کردن قفل بیومتریک جدید، به توسعه دهندگان این امکان را می دهد که به سرعت اسرار را مدیریت کنند، کاربران را تهیه کنند یا گردش کار ترمینال را خودکار کنند بدون اینکه از ابزارهای توسعه خود جابجا شوند یا رمزهای عبور را تایپ کنند.

Developer Tools همچنین مدیریت کلید را با وارد کردن و اجرای دستورات CLI ساده می‌کند و به توسعه‌دهندگان اجازه می‌دهد تا با مراجع مخفی کدنویسی کنند که در زمان اجرا با کلیدهای API واقعی از فروشگاه خود جایگزین می‌شوند.

کریگ هاسلر، مدیر پروژه در TechSource، در بیانیه‌ای گفت: «1Password CLI جدید به تیم توسعه وب ما اجازه داد تا در زمان همگام‌سازی گذرواژه‌ها و کلیدهای API به روشی امن‌تر از قبل ممکن صرفه‌جویی کنند».

او افزود: “من به هر تیم توسعه وب توصیه می کنم که از ابزارهای 1Password CLI برای افزایش امنیت و کارایی استفاده کند.”

مخازن رمزگذاری شده برای ذخیره اسرار به جای رمزگذاری یا ذخیره آنها به عنوان متن ساده ناامن، در فایل های پیکربندی یا در صفحات گسترده، توسعه دهندگان می توانند اسرار خود را در یک مکان در ابزارها و گردش کار مورد علاقه خود مدیریت کرده و به آنها دسترسی داشته باشند.

ذخیره اسرار در مخازن رمزگذاری شده و به عنوان یکی از انواع اشیاء مجازی – یک اعتبار API، یک حساب AWS، پایگاه داده، سرور یا کلید SSH – به جلوگیری از رخنه های ناشی از اسرار فاش شده کمک می کند.

Developer Tools همچنین با فراهم کردن دسترسی ایمن به اسرار در سراسر تیم، همکاری را تسهیل می‌کند.

میانبرهای مهار

هدف ابزارهای جدید 1Password تشویق توسعه دهندگان به مدیریت بهتر اسرار و منع آنها از بریدن گوشه هایی است که می تواند خطرات امنیتی ایجاد کند.

دانیل کندی، مدیر تحقیقات امنیت اطلاعات و شبکه، در 451 Research، بخشی از S&P Global Market Intelligence، توضیح داد: «این خیلی به کاهش، مانند یافتن راهی برای کار در مهلت‌های تعیین‌شده و تلاش برای کارآمدی هرچه بیشتر نیست. .

سازمان‌ها انواع فرآیندهای خوش‌نیت، اسکن کد و سایر ابزارهای آزمایش برنامه را نصب می‌کنند، و اگر آنقدر در زندگی روزمره توسعه‌دهندگان اصطکاک ایجاد کنند که فکر کنند بار آن بیشتر از ارزش است، آژانس‌های زیادی دارند، گاهی اوقات آژانس پنهان. او به TechNewsWorld گفت، برای غلبه بر این اشکالات.

جان بامپنیک، شکارچی اصلی تهدید در Netenrich، یک شرکت عملیات فناوری اطلاعات و امنیت دیجیتال در سن خوزه، کالیفرنیا، افزود: «توسعه‌دهندگان برای تأمین امنیت پولی دریافت نمی‌کنند».

او به TechNewsWorld گفت: “آنها اغلب بر اساس برنامه های فشرده کار می کنند تا با عجله وارد بازار شوند، به این معنی که هرگونه تاخیر، حتی برای امنیت، می تواند از سر راه خود حذف شود.”

رژ لب روی خوک امنیتی

به طور سنتی، امنیت به عنوان کاهش سرعت توسعه دهندگان دیده می شود. Larry Maccherone، منادی تحول DevSecOps خاطرنشان می‌کند: «لازم نیست اینطور باشد، و فروشندگان جدید – فروشندگان واقعی DevSecOps – به این فکر رسیده‌اند و توسعه‌دهندگان دوست دارند از آن‌ها استفاده کنند، زیرا در واقع توسعه را سرعت می‌بخشند تا سرعت آن را کاهش دهند. در Contrast Security، سازنده راه‌حل‌های نرم‌افزاری خود محافظت در لس آلتوس، کالیفرنیا.

او به TechNewsWorld گفت: «با این حال، اکثر فروشندگان ابزار امنیتی فقط رژ لب DevOps روی یک گراز امنیتی سنتی هستند.

جاش پرسرز، معاون امنیت در Anchore، یک شرکت توسعه نرم افزار امنیتی در سانتا باربارا، کالیفرنیا، گفت که DevSecOps احساس مسئولیت مشترک در دنیای توسعه ایجاد کرده است.

اگر به مدل‌های توسعه سنتی‌تر نگاه کنید، توسعه دارید، آزمایش دارید، امنیت دارید، همه این ترکیب‌های مختلف با اهداف کمی متفاوت دارید.» به TechNewsWorld بگویید. “وقتی شما گروه های مختلف با اهداف متفاوت دارید، نتایج متفاوتی می گیرید. در DevSecOps، جایی که شما مسئولیت را به اشتراک می گذارید، اهداف هماهنگ تر می شوند.”

کندی افزود: «وقتی به این فکر می‌کنید که چگونه اکثر شرکت‌ها در ابتدا به تولید کد امن نزدیک می‌شوند، که مبانی کدهای عظیم را اسکن می‌کرد و سپس پروژه‌های پاکسازی عظیم را انجام می‌داد، ما راه درازی را پیموده‌ایم».

وی ادامه داد: ورود امنیت به عنوان پروژه ای که در شرف تولید است با صدها آسیب پذیری که نیاز به پاکسازی دارد، رویکرد موثری برای امنیت اپلیکیشن نیست. “اگر بتوان اسکن را به صورت تدریجی در نقاط مناسب در خط لوله توسعه انجام داد، این یک راه بسیار کمتر بدون اصطکاک برای اطمینان از ساخت و به روز رسانی برنامه ها با در نظر گرفتن امنیت است.”