Beyond Identity schützt mit seinem neuen Produkt Secure DevOps die Software-Lieferkette vor Insider-Bedrohungen und kriminellen Angriffen. Secure DevOps bietet eine einfache, sichere und automatisierte Möglichkeit, um zu bestätigen, dass der gesamte Quellcode, der in ein Unternehmens-Repository gelangt und von der CI/CD - Pipeline verarbeitet wird, mit einem Schlüssel signiert ist.
Dieser ist kryptografisch an eine Unternehmensidentität und ein Gerät gebunden und gewährleistet somit Vertrauen, Integrität und Nachvollziehbarkeit für jeden Quellcode, der in das Software-Endprodukt eingebaut wird.
Von SolarWinds bis Kaseya – die Anfälligkeit der Software-Lieferkette und das Schadenspotenzial waren nie größer als heute. Mit der Verlagerung der Software-Entwicklung in die Cloud wurde die Build-Umgebung zu einem attraktiven Ziel für kriminelle Akteure, die eine tiefgreifende und umfassende Kompromittierung von Unternehmen anstreben.
Die Geschwindigkeit und die hoch agilen Prozesse in der Softwareentwicklung verhindern meist jedoch strengere Sicherheitskontrollen. Heute ist es praktisch unmöglich, die Herkunft des Quellcodes nachzuvollziehen, da die Entwickler den Quellcode, der in den Repositories des Unternehmens gespeichert ist, häufig nicht signieren – und diejenigen, die dies tun, in der Regel Schlüssel verwenden, die an eine persönliche Identität und nicht an eine validierte Unternehmensidentität gebunden sind.
Derzeit erfolgt das Signieren von Quellcodes in hohem Maße manuell und erfordert eine zentralisierte Schlüsselverwaltung. Dabei kommt es jedoch zu einer deutlichen Ausweitung der Schlüsselanzahl und dazu, dass Schlüssel nicht vertrauenswürdig sind, da sie von einem Gerät auf ein anderes übertragen werden können.
Das Signieren von Binärdateien, die die CI/CD-Pipeline verlassen, ist zwar gängige Praxis, stellt aber nur sicher, dass der Produktionscode vom Unternehmen erstellt wurde und macht den früheren Teil des Prozesses anfällig für böswillige Entwickler oder Angreifer.
Die neuartige Lösung von Beyond Identity stellt sicher, dass die Signierschlüssel für den Quellcode vertrauenswürdig sind, indem sie explizit an eine Unternehmensidentität und ein bestimmtes Gerät gebunden werden.
Mit einer einfachen, einmaligen Einrichtung für Ingenieure und DevSecOps-Teams erstellt die Lösung unveränderliche GPG-Schlüssel, die an die Systeme der Mitarbeiter gebunden und in Hardware-Enklaven gesichert sind. Das ermöglicht auch eine bessere zentrale Kontrolle und den Widerruf von Schlüsseln. Die Folge ist eine lückenlose Nachverfolgung der Herkunft des Quellcodes zur Qualitätssicherung und forensischen Prüfung.
„Es ist zwar einfacher, mit dem Signieren des Codes bis nach dem Build zu warten, aber es ist, als würde man einen Vertrag unterschreiben, ohne das Kleingedruckte zu lesen“, sagt TJ Jermoluk, CEO von Beyond Identity. Ähnlich wie bei einem Vertrag stecke der Teufel im Detail zwischen mehreren Entwicklern und einer Vielzahl von Quellcodeübertragungen.“
„Wie wir in letzter Zeit gesehen haben, können sich bösartige Injektionen jahrelang der Entdeckung entziehen und mehrere Unternehmen gefährden – unabhängig von der Wirksamkeit ihrer organisatorischen Sicherheitsvorkehrungen. Mit Secure Work nehmen wir den Nutzern nicht nur das Risiko und die Last von Passwörtern und Signierschlüsseln aus den Händen, sondern verbessern auch den Zugang und die Produktivität erheblich.“