Beyond Identity et GitLab Inc. ont annoncé un nouveau partenariat et une intégration qui permettent aux clients d'empêcher l'introduction de vulnérabilités intentionnelles dans les environnements DevOps et de réduire considérablement le risque d'attaques de la chaîne d'approvisionnement. L'intégration entre Beyond Identity et GitLab permet aux entreprises de s'assurer que seuls les utilisateurs autorisés travaillant depuis des ordinateurs approuvés et sécurisés par l'entreprise peuvent accéder aux dépôts de code ou signer le code source pendant les activités de commit. Beyond Identity étend les améliorations continues de la sécurité et les crochets API que l'équipe GitLab a publiés pour ajouter également la capacité unique d'associer une clé SSH ou GPG à une identité d'entreprise connue.

Ces capacités sont disponibles. La plateforme One DevOps de GitLab prend en charge des capacités de sécurité essentielles, notamment la possibilité d'utiliser des clés cryptographiques pour contrôler l'accès et signer le code source entrant dans le référentiel. Ces capacités avancées sont essentielles pour réduire les vulnérabilités que la plupart des organisations, même les ateliers avancés, ont actuellement dans leurs environnements DevOps.

Les organisations peuvent ainsi contrôler étroitement l'accès au code source et au code d'infrastructure dans les référentiels et obtenir une visibilité sur l'identité exacte de ceux qui commettent le code. Dans le passé, les équipes DevOps n'ont généralement pas eu besoin de cela, et dans les rares cas où elles l'ont fait, les clés SSH et GPG utilisées pour accéder aux dépôts et signer les commits ne sont pas liées à une identité d'entreprise autorisée. En outre, il n'existe aucun moyen de s'assurer que les ingénieurs travaillent à partir d'un ordinateur autorisé et convenablement sécurisé.

Ces problèmes laissent la porte grande ouverte aux attaques par injection de code malveillant. La solution Secure DevOps de Beyond Identity est conçue pour prévenir les brèches basées sur les informations d'identification en automatisant et en sécurisant l'accès numérique des développeurs, permettant un accès au référentiel et des vérifications sécurisées. L'accent mis par GitLab sur la sécurité et les crochets d'intégration essentiels permettent à Beyond Identity de frapper les clés SSH et GPG qui sont liées cryptographiquement à une identité d'entreprise connue et autorisée et à un ordinateur autorisé.

Cette intégration permet aux équipes DevSecOps de verrouiller le dépôt et de s'assurer qu'une identité d'entreprise valide signe chaque morceau de code déposé dans le dépôt. L'intégration permet également aux équipes DevSecOps de valider que chaque morceau de code entrant dans le pipeline CI/CD est vérifié pour s'assurer que les utilisateurs autorisés l'ont signé – ; généralement comme première étape du pipeline CI. L'intégration de Secure DevOps avec GitLab peut contribuer à ce qui suit : Empêcher les acteurs malveillants ou les initiés véreux d'injecter des logiciels malveillants dans le code source et protéger les services et les applications SaaS, PaaS et IaaS contre les portes dérobées.

Contrôler l'accès au référentiel et empêcher l'introduction de code malveillant non autorisé chez les clients (par exemple, SolarWinds). Empêcher les mauvais acteurs et les initiés de procéder à des réglages de l'infrastructure réseau/système et d'introduire des vulnérabilités et des portes dérobées difficiles à détecter en manipulant l'infrastructure en tant que code désormais stocké dans les référentiels. Confirmez que chaque morceau de code source ou d'infrastructure est signé et lié cryptographiquement à un utilisateur autorisé afin que les organisations aient une visibilité parfaite de l'identité de ceux qui ont contribué à chaque commit – ; garantissant que les problèmes trouvés par les outils d'analyse du code peuvent être immuablement suivis jusqu'à une identité spécifique.

Assurez-vous que les ingénieurs et les entrepreneurs utilisent des ordinateurs sécurisés autorisés et éprouvés pour accéder au code ou le livrer – ; contrecarrant ainsi les attaques des adversaires qui s'attaquent aux points d'extrémité mal sécurisés.