Beyond Identity lanceert Secure DevOps: deze koppelt broncode aan veilige ondertekenings-sleutel

Beyond Identity, de aanbieder van oplossingen van wachtwoordloze multi-factor authenticatie (MFA), introduceert Secure DevOps. Dit is een nieuwe oplossing die de softwaretoevoerketen helpt tegen bedreigingen door insiders en cyberaanvallen van buitenaf. Secure DevOps is een veilige en geautomatiseerde methode die ervoor zorgt dat alle broncode die aan GitHub-, GitLab- en Bitbucket-repository’s wordt toevertrouwd digitaal door een developer wordt ondertekend met een geverifieerde bedrijfsidentiteit.

Veel organisaties hebben hun softwareontwikkelingsproces in de cloud ondergebracht. Daarmee is de build-omgeving uitgegroeid tot een aantrekkelijk doelwit voor cybercriminelen die een uitgebreide aanwezigheid willen krijgen binnen de IT-omgevingen van organisaties. De kwetsbaarheid van de softwaretoevoerketen en de kans op schade is door de hacks van SolarWinds en Kaseya duidelijker dan ooit.

De oplossing van Beyond Identity waarborgt de betrouwbaarheid van sleutels voor het ondertekenen van broncode door ze aan een bedrijfsidentiteit en een specifiek apparaat te koppelen. Na een uiterst eenvoudige, eenmalige installatie voor engineers en DevSecOps-teams genereert de oplossing onverplaatsbare GNU Privacy Guard (GPG)-sleutels die gekoppeld zijn aan, en beveiligd worden in hardware-enclaves op computersystemen die door de werkgever zijn verstrekt. Deze aanpak biedt niet alleen meer grip op de beveiliging, maar ook de optie om sleutels in te trekken. Op die manier kan de herkomst van broncode volledig worden herleid met het oog op kwaliteitscontroles en forensische audits. In het verleden moesten developers bij key management-as-a-service zelf de sleutels beheren, zonder over consistente en veilige opslagmogelijkheden te beschikken. Daarmee werd de mogelijkheid opengelaten voor het riskante gedrag om sleutels op relatief eenvoudige wijze naar meerdere apparaten te verplaatsen.

De snelheid en sterk gedistribueerde aard van agile processen voor softwareontwikkeling maakt het echter moeilijk om strenge beveiligingsmechanismen toe te passen. Bovendien is het momenteel vrijwel onmogelijk om de herkomst van broncode te herleiden, omdat developers de code die zij aan zakelijke repository’s toevertrouwen vaak niet ondertekenen. En developers die dat wel doen maken daarvoor meestal gebruik van sleutels die aan een persoonlijke identiteit zijn gekoppeld in plaats van een geverifieerde bedrijfsidentiteit. Momenteel omvat het ondertekenen van code een handmatig proces dat om centraal sleutelbeheer vraagt. Daarbij is sprake van een wildgroei aan sleutels en zijn de sleutels niet betrouwbaar omdat ze van het ene naar het andere apparaat kunnen worden verplaatst. Een veel voorkomend gebruik is het ondertekenen van de uitvoerbare bestanden die de CI/CD-pipeline verlaten, maar dit waarborgt alleen maar dat de productiecode door de organisatie is ontwikkeld. Het voorafgaande stadium in dit proces blijft zo vatbaar voor cybercriminelen en developers met kwade bedoelingen.

“Agile softwareontwikkeling versnelde het innovatietempo en veranderde de regels van het spel voor tal van bedrijven”, zegt Johnathan Hunt, vice president Security bij GitLab. “Naar onze mening kunnen developers die gebruikmaken van één DevOps-platform zoals GitLab, dat de beveiliging inbedt in een vroegtijdig stadium van de DevOps-levenscyclus de noodzaak van aanpassingen achteraf reduceren en kwetsbaarheden tot een minimum beperken. We waarderen de toegevoegde waarde die Beyond Identity biedt door het versterken van de beveiliging van commits van broncode en het bieden van bescherming tegen de injectie van kwaadaardige code.”

“We zijn een bedrijf dat vanuit de cloud opereert. Daarom was de authenticatiebenadering van Beyond Identity een absolute inkopper voor ons”, zegt Mario Duarte, vice president Security bij Snowflake. “Toen ik hun innovatieve architectuur nader onder de loep nam, bespeurde ik directe toepasbaarheid en enorme toegevoegde waarde, zeker wat betreft het ondertekenen van broncode en de ondersteuning voor GitHub. Dit was een uitgelezen kans om samen met Beyond Identity een product te ontwikkelen dat deze beveiligingsproblemen aanpakt.”

“Wachten met het ondertekenen van code tot na de build is makkelijker, maar het heeft veel weg van het ondertekenen van een contract zonder de kleine lettertjes te raadplegen”, zegt TJ Jermoluk, de CEO van Beyond Identity. “Net als bij een contract zit het venijn in de details als er sprake is van een groot aantal developers die verantwoordelijk zijn voor een veelheid aan commits. En zoals recentelijk is gebleken kunnen cyberaanvallen op basis van injectie van kwaadaardige code jarenlang onopgemerkt blijven en diverse bedrijven treffen, hoe goed die ook zijn beveiligd. Zoals we eerder met onze oplossing Secure Work deden zorgt het elimineren van de risico’s en werklast rond wachtwoorden en ondertekeningsleutels niet alleen voor een forse verbetering van de beveiliging, maar ook voor aanzienlijk snellere toegang en productiviteit.” 

Meer informatie over de oplossing Secure DevOps van Beyond Identity is te vinden op: https://www.beyondidentity.com/blog/introducing-code-commit-signing-secure-your-sdlc

Over Beyond Identity