Chat with us, powered by LiveChat

Protegendo o código-fonte em terminais

Proteger o código-fonte contra perda ou roubo tem sido historicamente desafiador devido à falta de opções de segurança disponíveis para fornecer segurança eficaz sem afetar a produtividade do desenvolvedor. Para muitas empresas, seu código-fonte é um ativo extremamente valioso, mas para permitir a produtividade, ele precisa ser copiado nos terminais do desenvolvedor em formatos de texto simples, tornando difícil manter esse valioso ativo protegido e monitorado.

O Data Access Security Broker (DASB) da SecureCircle é uma arquitetura de segurança simples e confiável que permite aos clientes proteger o código-fonte no terminal sem afetar os desenvolvedores de fazer seu trabalho. O DASB protege contra ameaças internas e perda acidental de dados sem restringir os desenvolvedores a um IDE específico ou a ferramentas de construção.

Quando implantado em uma configuração de prática recomendada, o SecureCircle pode proteger o código-fonte em terminais sem que as equipes de desenvolvimento precisem alterar a forma como operam ou interagem com o código, IDEs e ferramentas de desenvolvimento. Isso se concentra nas melhores práticas do SecureCircle para proteger o código-fonte em ambientes de desenvolvimento.

Arquitetura de alto nível

A abordagem mais comum para gerenciar e trabalhar com código-fonte é aproveitar um ou mais repositórios de código que são considerados a fonte da verdade para um determinado projeto de desenvolvimento. Os repositórios de código fornecem funcionalidade que simplifica o gerenciamento de várias versões de código, branches e releases.

Em ambientes de desenvolvimento, é uma prática comum para desenvolvedores copiar o código em seus terminais (Mac / PC / Linux) usando uma solicitação de pull ou processo de checkout. Essa operação de checkout ou pull permite que os desenvolvedores tenham acesso para mover o código diretamente para seu endpoint local para a experiência de desenvolvimento mais rápida e confiável ao trabalhar com código.

O SecureCircle garante que o código-fonte seja criptografado de forma persistente quando se move para o endpoint dos desenvolvedores, sem impacto para os desenvolvedores e suas ferramentas, para que as empresas sempre permaneçam no controle de seu código-fonte, independentemente de onde o código reside.

Protegendo o código-fonte no terminal

Quando o SecureCircle é configurado para as melhores práticas, o código-fonte é protegido à medida que se move do repositório de código para os terminais do desenvolvedor. Especificamente, o processo cliente (ex git, svn) no sistema dos desenvolvedores é configurado como um Processo Seguro. Quando o Processo Seguro copia ou grava arquivos de código-fonte no terminal do desenvolvedor, o agente SecureCircle garante que o código-fonte dentro dos arquivos seja criptografado em todos os momentos e permaneça protegido mesmo em uso.

Uma camada adicional de segurança recomendada pelo SecureCircle é usar SSH como o protocolo de transferência para qualquer solicitação de pull do repositório de código. Isso não apenas garantirá que o código-fonte seja criptografado em trânsito, mas também permite uma camada adicional de segurança, permitindo que o arquivo de chave SSH privada nos terminais dos desenvolvedores seja gerenciado pelo SecureCircle. Ao proteger a chave com SecureCircle, o acesso ao código-fonte no terminal e o acesso ao repositório pela rede podem ser revogados ao desabilitar um usuário ou dispositivo. Quando o acesso ao código é revogado, ele não pode mais ser lido no terminal por nenhum processo. Da mesma forma, o terminal não será mais capaz de fazer solicitações ao repositório, pois a chave SSH que concede acesso ao repositório de código também é ilegível. Todo o código-fonte protegido nos endpoints do desenvolvedor é monitorado. Quando os aplicativos e o processo tentam acessar o código-fonte, as ações tentadas podem ser registradas em um SIEM para análise posterior.

Permitindo acesso ao código-fonte no terminal

O código-fonte em arquivos que foram retirados por um desenvolvedor aprovado em um endpoint aprovado, por um processo aprovado, são sempre mantidos em um estado criptografado. Não apenas o código é sempre criptografado, apenas IDEs e compiladores aprovados têm acesso ao código dentro do arquivo, outros processos no endpoint do desenvolvedor não podem acessar a versão em texto simples do código-fonte, a menos que explicitamente aprovado.

Quando um IDE aprovado abre o código-fonte, ele lê o texto simples, mas o arquivo nunca é descriptografado. No entanto, o código-fonte é mantido no IDE e em outros processos aprovados, como IDEs alternativos. Os compiladores também podem ser aplicativos aprovados e ler texto simples dentro do arquivo protegido para que o código compilado possa ser bem-sucedido sem qualquer alteração no fluxo de trabalho normal dos desenvolvedores ou alterações nas ferramentas de construção.

Em geral, quando os processos que consomem dados são executados no terminal, eles são considerados um Processo permitido que concede permissão para ler o conteúdo dos arquivos ou um Processo negado, caso em que são forçados a ler a versão criptografada dos bytes. Ferramentas de transporte como o Windows Explorer, Mac Finder, clientes de e-mail e clientes de sincronização de arquivos (por exemplo, Dropbox) são todos recomendados como processos negados, o que significa que esses processos podem transportar arquivos protegidos, mas nunca ler o conteúdo de texto simples.

Protegendo o código-fonte na área de transferência‍

É comum usar a área de transferência do sistema operacional para mover dados de um local para outro. No desenvolvimento do código-fonte, a capacidade de copiar e colar é uma ferramenta importante para a produtividade. Com SecureCircle, os desenvolvedores são livres para copiar e colar dentro e entre processos permitidos. No entanto, se um desenvolvedor tentar colar o código de um Processo Permitido em um Processo Negado, a operação será bloqueada. Ao controlar copiar e colar dessa forma, o código-fonte pode ser impedido de ser exfiltrado em aplicativos e processos não aprovados que são considerados de alto risco, como clientes de e-mail ou navegadores da web.

Protegendo código-fonte derivado e recém-criado

Quando novos arquivos de código-fonte são criados, eles podem ser protegidos por padrão, como parte de um Processo Seguro, que protege cada novo arquivo criado, ou podem ser protegidos com base no conteúdo do código sendo um derivado do código-fonte que era anteriormente protegido pela SecureCircle.

Ao ativar o derivativo seguro, as semelhanças nos dados entre os arquivos serão detectadas. Quando um novo arquivo é criado com conteúdo semelhante a um arquivo existente, ele será protegido automaticamente com as mesmas políticas do arquivo original e criptografado de forma transparente para permitir que a segurança se mova com os dados. Quando o código-fonte é copiado de um arquivo para outro dentro de um Processo Permitido, o Secure Derivative garante que o arquivo que recebe esse código herdará a segurança do arquivo que continha o código original.

Verificando o código-fonte no repositório

Ao verificar o código de volta no repositório de código, o processo nos terminais do desenvolvedor pode ser definido como um Processo permitido, que remove a criptografia dos bytes dentro do código-fonte conforme é enviado ao repositório de código. Os arquivos de código-fonte são criptografados em trânsito por meio de SSH, mas são armazenados em formato de texto simples no repositório de código-fonte, o que permite que as ferramentas padrão do lado do servidor no repositório de código continuem a operar conforme o esperado. Quando um desenvolvedor fizer check-out do código no futuro, ele será protegido de acordo com o método original descrito acima. SecureCircle recomenda que os controles de segurança sejam implementados no repositório para complementar o fluxo de trabalho do código descrito neste white paper.

Revogar acesso ao código fonte

No caso de o acesso ao código-fonte precisar ser revogado, o SecureCircle permite a capacidade de desabilitar o acesso ao código-fonte em terminais por usuário, grupo ou dispositivo.

Quando o acesso aos dados é desabilitado, os dados não ficam mais acessíveis ao usuário, grupo ou dispositivo envolvido, independentemente de onde os dados residem. As tentativas de acessar o código-fonte em um dispositivo que teve o acesso revogado serão negadas e essas tentativas serão registradas. Além disso, a capacidade de copiar o código-fonte do repositório também será revogada, pois o arquivo de chave privada SSH não estará mais acessível ao processo de clonagem no terminal do desenvolvedor. A remoção do acesso ao código-fonte pode ser eficaz em segundos, com base na configuração de tempo de vida (TTL) dentro do serviço SecureCircle. Por fim, o acesso a quaisquer cópias adicionais ou derivados também será revogado, mesmo no caso de terem sido copiados para mídia removível.

conclusão

O SecureCircle permite que as empresas criem fluxos de trabalho que protegem automaticamente os dados conforme eles se movem para os terminais. Ao implantar o SecureCircle, o código-fonte é criptografado dentro dos arquivos à medida que são retirados dos repositórios de código-fonte, sem impacto para os desenvolvedores ou as ferramentas que usam. O código-fonte é sempre mantido em um estado criptografado e apenas aplicativos aprovados podem acessar e modificar o código de texto simples. O acesso ao código-fonte pode ser revogado a qualquer momento, independentemente de onde os arquivos do código-fonte protegidos estão sendo armazenados. Manter os dados criptografados em qualquer tipo de arquivo sem afetar os desenvolvedores ou ferramentas de desenvolvedor é o que torna essa abordagem de segurança do código-fonte única. Na SecureCircle, acreditamos que a segurança de dados sem atrito gera valor de negócios para nossos clientes, fornecendo proteção persistente contra vazamento acidental e ameaças internas. Para obter mais informações sobre como abordamos a segurança de dados, visite nosso website www.securecircle.com.

Baixar artigo

Pronto para começar?

Proteja seu código-fonte

Proteja seu código-fonte

Saiba mais sobre como o SecureCircle protege o código-fonte para os clientes.

Leia o estudo de caso
Ícone de reserva de demonstração

Reserve uma demonstração

Proteja seus dados em trânsito, em repouso e em uso. O SecureCircle é simples de implantar e nenhuma alteração é necessária em seu fluxo de trabalho atual.

Reserve uma demonstração
Ícone CMMC

Certificação de modelo de maturidade de cibersegurança

O SecureCircle ajuda as organizações a atender a mais de 40 controles e práticas para obter a certificação de Nível 3.

Saber mais