1Password incentiva a segurança como novo conjunto de ferramentas

1Password – Um fabricante de gerenciadores de senhas está tentando incentivar os desenvolvedores de software a adotar um gerenciamento de segredos mais seguro com alguns novos recursos adicionados ao seu principal produto.

Lançado sob o nome Developer Tools, o 1Password declarou que os novos recursos ajudarão os desenvolvedores a gerar, gerenciar e acessar segredos de maneira fácil e segura em seus fluxos de trabalho normais.

As ferramentas também ajudarão a simplificar processos complexos e melhorar as práticas de segurança para garantir que os dados sejam protegidos, sem diminuir o pipeline de desenvolvimento, acrescentou, além de fornecer aos desenvolvedores acesso seguro aos segredos de que precisam onde quer que estejam, independentemente do dispositivo em que estejam. estão usando.

“Historicamente, uma das maiores restrições à codificação e às operações seguras eram as ferramentas para gerenciar segredos com segurança – as senhas e chaves necessárias para interconectar componentes com segurança”, observou Casey Bisson, chefe de relações de produtos e desenvolvedores da BluBracket , fornecedora de código. soluções de segurança em Palo Alto, Califórnia.

“Em muitos casos”, disse ele ao TechNewsWorld, “esses segredos estão sendo armazenados em código. Mas um segredo em código é um segredo contado.”

Citando um estudo da 1Password, seu diretor de produtos e gerente geral de soluções emergentes, Akshay Bhargava, disse ao TechNewsWorld que um em cada quatro funcionários das empresas de TI DevOps têm segredos em 10 ou mais locais e os compartilharam com colegas usando canais inseguros, como em um e-mail ou mensagem do Slack.

Ele acrescentou que um em cada três funcionários de DevOps de TI dizem que compartilharão segredos em canais inseguros, se isso os ajudar a realizar seu trabalho mais rapidamente.

Além disso, continuou ele, 61% dos projetos estão atrasados ​​devido ao mau gerenciamento de segredos.

1Password – Gerenciamento fácil de chaves SSH

Os novos recursos da oferta Developer Tools incluem o gerenciamento de chaves SSH, que permite que os desenvolvedores armazenem e usem chaves SSH com apenas alguns cliques.

1Password

Para ajudar a evitar erros, o 1Password para o navegador preencherá automaticamente as chaves públicas de um desenvolvedor em sites populares, incluindo GitHub, GitLab, BitBucket e Digital Ocean.

Em seguida, com um agente SSH integrado, os usuários podem enviar código para o GitHub e autenticar outros fluxos de trabalho SSH em um terminal simplesmente digitalizando suas impressões digitais, aumentando a segurança com menos esforço.

1Password

Os desenvolvedores não precisam mais lembrar ou digitar senhas de chave, copiar chaves manualmente para novos dispositivos ou armazenar arquivos em seu disco, evitando assim a criptografia fraca de chaves SSH e outros riscos de segurança.

“Todo o incômodo de trocar chaves em máquinas diferentes, adicionar e remover chaves do agente, inserir senhas de chaves, agora é apenas uma autenticação biométrica”, disse Marcel Kersten, desenvolvedor de software da ComLine GmbHd, em comunicado.

1Password – Nova CLI e cofre de segredos

Uma nova interface de linha de comando, com sintaxe aprimorada e um novo desbloqueio biométrico, permite que os desenvolvedores gerenciem rapidamente segredos, provisionem usuários ou automatizem fluxos de trabalho em um terminal sem alternar entre suas ferramentas de desenvolvimento ou digitar senhas manualmente.

1Password

Ferramentas do Desenvolvedor também simplificam o gerenciamento de chaves com comandos de injeção e execução da CLI, permitindo que os desenvolvedores codifiquem com referências secretas que são substituídas por chaves de API reais de seu cofre em tempo de execução.

“O novo 1Password CLI permitiu que nossa equipe de desenvolvimento web economizasse tempo sincronizando senhas e chaves de API de uma maneira muito mais segura do que antes”, disse Craig Haseler, gerente de projetos da TechSource, em comunicado.

“Recomendo fortemente que qualquer equipe de desenvolvimento web procure usar as ferramentas 1Password CLI para aumentar a segurança e a eficiência”, acrescentou.

Cofres criptografados para armazenar segredos para que, em vez de codificá-los ou armazená-los como texto simples não seguro, em arquivos de configuração ou em planilhas, os desenvolvedores possam gerenciar e acessar seus segredos em um só lugar dentro de suas ferramentas e fluxos de trabalho preferidos.

Armazenar segredos em cofres criptografados e como um dos vários tipos de itens padrão — credencial de API, conta da AWS, banco de dados, servidor ou chave SSH — ajudará a evitar violações causadas por segredos vazados.

As Ferramentas do Desenvolvedor também facilitam a colaboração fornecendo acesso seguro a segredos em uma equipe.

1Password – Atalhos desencorajadores

As novas ferramentas do 1Password visam incentivar um melhor gerenciamento de segredos por parte dos desenvolvedores e desencorajá-los de cortar atalhos que podem criar riscos de segurança.

“Não é tanto cortar atalhos, mas encontrar uma maneira de trabalhar dentro dos prazos impostos e tentar ser o mais eficiente possível”, explicou Daniel Kennedy, diretor de pesquisa para segurança da informação e redes, da 451 Research , que faz parte da S&P Global Market Intelligence .

“As organizações instalam todos os tipos de processos bem-intencionados, varredura de código e outras ferramentas de teste de aplicativos e, se criarem muito atrito na vida diária dos desenvolvedores, a ponto de pensarem que o fardo supera o valor, eles têm muito de agência, às vezes agência oculta, para contornar esses impedimentos”, disse ele ao TechNewsWorld.

“Os desenvolvedores não são pagos para oferecer segurança. Eles são pagos para fornecer recursos”, acrescentou John Bambenek, principal caçador de ameaças da Netenrich , uma empresa de operações de TI e segurança digital em San Jose, Califórnia.

“Muitas vezes, eles operam em prazos apertados para chegar ao mercado, o que significa que qualquer atraso, mesmo por segurança, pode ser deixado de lado”, disse ele ao TechNewsWorld.

1Password – Batom em um porco de segurança

Tradicionalmente, a segurança tem sido vista como algo que atrasa os desenvolvedores. “Isso não precisa ser o caso e os fornecedores mais novos – verdadeiros fornecedores de DevSecOps – descobriram isso e os desenvolvedores adoram usá-los porque eles realmente aceleram o desenvolvimento, não os desaceleram”, observou Larry Maccherone, evangelista de transformação DevSecOps da Contrast Security , um fabricante de soluções de software de autoproteção em Los Altos, Califórnia.

“No entanto, a maioria dos fornecedores de ferramentas de segurança é apenas batom DevOps em um porco de segurança tradicional”, disse ele ao TechNewsWorld.

DevSecOps criou um senso de responsabilidade compartilhada no universo de desenvolvimento, afirmou Josh Bressers, vice-presidente de segurança da Anchore , uma empresa de segurança de desenvolvimento de software em Santa Barbara, Califórnia.

“Se você olhar para modelos de desenvolvimento mais tradicionais, você teve desenvolvimento, testes, segurança, todos esses grupos diferentes com objetivos ligeiramente diferentes.” ele disse ao TechNewsWorld. “Sempre que você tem grupos diferentes com objetivos diferentes, obtém resultados diferentes. No DevSecOps, onde você tem responsabilidade compartilhada, os objetivos estão mais alinhados.”

“Quando você considera como a maioria das empresas originalmente abordou a criação de código seguro, que estava fazendo varreduras em enormes bases de código e depois em grandes projetos de limpeza, percorremos um longo caminho”, acrescentou Kennedy.

“Ter a segurança chegando quando um projeto está prestes a entrar em produção com centenas de vulnerabilidades para serem limpas não é uma abordagem eficaz para a segurança de aplicativos”, continuou ele. “Se as varreduras puderem ser feitas de forma incremental em pontos apropriados em um pipeline de desenvolvimento, essa é uma maneira de muito menos atrito para garantir que os aplicativos sejam criados e atualizados com a devida consideração à segurança.”