リポジトリやコラボレーションツールで Credential / Secret の露出を防ぐ方法
(cremit.io)こんにちは、GeekNews の皆さん!
私たちが解決している課題が、私たちのチーム全員がよく見ている GeekNews に掲載されていて、とてもうれしく思いました。
https://ja.news.hada.io/topic?id=13442
スレッドのコメントで紹介してほしいというお声があったので、私たちが一生懸命作った製品をご紹介します。
- プロジェクト紹介
- 各種 SaaS サービスと連携するために使われる Secret API Key に対する検知サービスを提供しています。
- TruffleHog、GitLeaks など多くのツールがありますが、DevSecOps ツールに偏っているため、実際のセキュリティチームやインフラ管理チームの立場では利用に多くのエンジニアリングコストがかかるという欠点を改善しています。
- GitHub、GitLab だけでなく、現在は Confluence、Jira、Notion などの範囲まで拡張して連携できます。
- Credential(Secret、PII)中心のセキュリティを Build-up できるよう支援し、脅威管理機能を通じて組織の Credential セキュリティ脅威を把握できます。
- SAML / OIDC 連携など、各種 IDP と連携できる機能を提供しています。
- 機能紹介
- Secret 検知機能を提供します。Secret キーの状態情報まで把握でき、Active / Inactive などの状態を通じて False-Positive から脱却できます。
- PII 検知機能を提供します。NLP が含まれているため、単純な Regex よりも文脈の把握を通じて、より正確に個人情報の露出を把握できます。
- Threat Policy 機能を提供します。たとえば、AWS Active Key が Active な状態を High 脅威として定義し、優先順位を把握できます。
- Dashboard 機能を提供します。
- 連携範囲は大きく 2 つに分かれます。
**Target - パブリック GitHub などを追加してモニタリングできます。
** Integration - 内部(Private)向けとして、GitHub、GitLab、Confluence、Jira、Notion などを連携できます。
- メンバー管理
- 権限は大きく Administrator、Writer、Reader に分かれており、組織ごとに広い範囲での組織運営が可能です。
- SAML / OIDC 連携を通じて、組織が運用している IDP と連携できます。
- 参考リンク
- Support Center - https://support.cremit.io - チケットシステムやドキュメントを通じて支援を受けられます。
- Status Page - https://status.cremit.io - サービスの状態を確認できます。
- Security Center - https://security.cremit.io - Cremit が維持しているセキュリティ水準を確認できます。
- ロードマップ - https://releases.cremit.io
- 継続的な連携範囲の拡張 - AWS S3、GCS、Azure Storage などでも継続的な漏えい事故や個人情報の無分別な管理が発生しています。これに対応するため、Cremit チームは拡張範囲をロードマップに追加しています。
- 継続的な管理機能の拡張
- Threat 機能と連携して Incident 管理ができる管理機能を継続的に拡張する予定です。
- 継続的な Secret 検知範囲の拡張 - SaaS ツールは今も毎週数十件ずつ更新・連携されています。これに対応して、Cremit チームは継続的に Secret Pattern / Validation Pattern を F/U して更新します。
- PII Data に対するユーザー管理機能の追加 - 現在 Cremit で Managed に管理されている PII パターンを、ユーザーが直接追加できます。
- ユーザーが直接 Handling する Authentication 情報に対する検証機能の追加
- 内部 Admin システム、バックオフィスなどのログイン情報と連携し、Secret と連動できる機能を追加する予定です。
- その他の追加情報
- Cremit は 23 年 5 月に設立された非常に初期段階の企業で、幸いにも設立年の 8 月に Primer から初期シード投資を受けることができました。
- 私たちのチームとのミーティングが必要でしたら、いつでもホームページからお申し込みください!
- 現在、無料で利用できる期間と Free Plan があります。機能に多少の制限がありますので、ご参考ください!
サービス登録 URL - https://register.cremit.io
2件のコメント
こうした検出ツールの多くはリポジトリやコードに限定されがちですが、これは Notion や Jira のようなツールまで検出してくれるのが良いですね
はい、その通りです!
既存のツールは主にDevSecOpsに重点を置いています。
私たちは、コラボレーションツールやドライブ、リポジトリなど、Credential が露出する可能性のあるあらゆる場所を検知することを目標にしています!
ご関心をお寄せいただきありがとうございます!