Beyond Identity und GitLab Inc. haben eine neue Partnerschaft und Integration angekündigt, die es Kunden ermöglicht, das Einschleusen von Sicherheitslücken in DevOps-Umgebungen zu verhindern und das Risiko von Angriffen auf die Lieferkette drastisch zu reduzieren. Durch die Integration von Beyond Identity und GitLab können Unternehmen sicherstellen, dass nur autorisierte Benutzer, die von unternehmensgenehmigten und sicheren Computern aus arbeiten, auf Code-Repositories zugreifen oder Quellcode während Commit-Aktivitäten signieren können. Beyond Identity erweitert die kontinuierlichen Sicherheitsverbesserungen und API-Hooks, die das GitLab-Team veröffentlicht hat, um die einzigartige Möglichkeit, einen SSH- oder GPG-Schlüssel mit einer bekannten Unternehmensidentität zu verknüpfen.

Diese Funktionen sind verfügbar. Die One DevOps Platform von GitLab unterstützt wichtige Sicherheitsfunktionen, darunter die Möglichkeit, kryptografische Schlüssel zu verwenden, um den Zugriff zu kontrollieren und den in das Repository eingehenden Quellcode zu signieren. Diese fortschrittlichen Funktionen sind entscheidend für die Verringerung von Schwachstellen, die die meisten Unternehmen, selbst fortgeschrittene Unternehmen, derzeit in ihren DevOps-Umgebungen haben.

So können Unternehmen den Zugriff auf den Quell- und Infrastrukturcode in den Repositories genau kontrollieren und sich einen Überblick darüber verschaffen, wer genau den Code überträgt. In der Vergangenheit war dies für DevOps-Teams in der Regel nicht erforderlich, und in den seltenen Fällen, in denen dies der Fall war, waren die SSH- und GPG-Schlüssel, die für den Zugriff auf Repos und das Signieren von Commits verwendet wurden, nicht an eine autorisierte Unternehmensidentität gebunden. Außerdem gibt es keine Möglichkeit sicherzustellen, dass die Ingenieure von einem autorisierten und entsprechend sicheren Computer aus arbeiten.

Diese Probleme öffnen Tür und Tor für Angriffe, die bösartigen Code einschleusen. Die Lösung Secure DevOps von Beyond Identity wurde entwickelt, um Verstöße gegen Anmeldedaten zu verhindern, indem der digitale Zugang für Entwickler automatisiert und gesichert wird und ein sicherer Zugriff auf das Repository sowie Check-Ins ermöglicht werden. Der Fokus von GitLab auf Sicherheit und wichtige Integrationshooks ermöglichen es Beyond Identity, SSH- und GPG-Schlüssel zu prägen, die kryptographisch an eine bekannte und autorisierte Unternehmensidentität und an einen autorisierten Computer gebunden sind.

Diese Integration ermöglicht es DevSecOps-Teams, das Repo zu sperren und sicherzustellen, dass jeder in das Repo übertragene Code von einer gültigen Unternehmensidentität unterzeichnet wird. Die Integration ermöglicht es DevSecOps-Teams auch zu überprüfen, ob jeder Code, der in die CI/CD-Pipeline gelangt, von autorisierten Benutzern signiert wurde – normalerweise als erster Schritt in der CI-Pipeline. Die Secure DevOps-Integration mit GitLab kann bei Folgendem helfen: Verhindern Sie, dass böswillige Akteure oder abtrünnige Insider Malware in den Quellcode einschleusen und schützen Sie SaaS-, PaaS- und IaaS-Dienste und -Anwendungen vor Hintertüren.

Kontrollieren Sie den Zugriff auf das Repository und verhindern Sie die Einschleusung von nicht autorisiertem bösartigem Code bei Kunden (z.B. SolarWinds). Verhindern Sie, dass böswillige Akteure und Insider Einstellungen an der Netzwerk-/Systeminfrastruktur vornehmen und schwer zu entdeckende Schwachstellen und Hintertüren einführen, indem sie die Infrastruktur als Code manipulieren, der jetzt in Repositories gespeichert ist. Vergewissern Sie sich, dass jeder Quell- oder Infrastrukturcode signiert und kryptografisch an einen autorisierten Benutzer gebunden ist, so dass Unternehmen einen perfekten Überblick darüber haben, wer zu jedem Commit beigetragen hat – so wird sichergestellt, dass Probleme, die von Code-Scanning-Tools gefunden werden, unveränderlich zu einer bestimmten Identität verfolgt werden können.

Stellen Sie sicher, dass Ingenieure und Auftragnehmer autorisierte und nachweislich sichere Computer verwenden, um auf den Code zuzugreifen oder ihn zu übertragen – so vereiteln Sie Angriffe von Angreifern, die auf schlecht gesicherte Endpunkte abzielen.