破解代码中的秘密：GitGuardian 的解决方案

文章重点

在软件开发中，秘密信息如认证信息常常散布在各种数据源中，因此必须及时发现以避免攻击的发生。GitGuardian 是一家专注于代码和软件供应链安全的公司，拥有一个秘密检测引擎，该引擎具备低误报率和高召回率，能捕获各类秘密。GitGuardian 的首席执行官兼共同创办人 Eric Fourrier 在 RSA 会议上指出，该工具不仅能找到秘密还能建议修复方法，这对于发现并修复代码中的漏洞至关重要。

Honeytoken 的角色

如果攻击者成功访问您的代码，Fourrier 表示，他们可以横向移动并控制您的云端或其他基础设施中的数据库。Honeytoken 模组的目的是保护软件供应链。Fourrier 指出：“我们已经见过多种攻击案例，攻击者可以劫持工程师的生产会话来获取第三方供应链提供者的源代码。”

Honeytoken 模组可以帮助用户了解攻击者在何时、如何以及访问了哪些资源。该工具能识别有价值的入侵指标，例如 IP 地址、入侵位置、具体时间及攻击者触发 token 的时间。

“我们提出的概念是用 honeytokens 为每个 IP 资源进行指纹识别，”Fourrier 说。“我们建议在每个独特的位置部署 honeytoken，以便在攻击者触发 honeytoken 时识别受损资产。这将触发安全和 SOC 团队的警报。”

除了代码库，selfhosted 和管理型的 DevOps 工具、开发者工作站外，honeytoken 还可以放置在 SaaS 供应商 中，以便检查是否受到攻击，他补充道。此外，还可以获得关于您在公开代码库中 honeytoken 泄露的警报。

保持员工知情

Sanabria 问道，如何确保在捕捉攻击者的同时不会让自己的员工触发警报。Fourrier 回答，开发团队必须了解 Honeytoken 的运作方式，以避免错误的正警报。他们还应该给予开发者更简便的 honeytoken 创建和部署方式。

GitGuardian 在其平台中嵌入了这个新的模组，并在测试期间向人们免费提供一些 Honeytokens，因为该公司希望获得大规模的产品反馈来改进产品，Fourrier 表示。

保护第三方供应商

该公司的 SaaSSentinel 产品在今年早些时候推出，旨在成为一个“SaaS 瞭望塔”，在最常用的 SaaS 供应商中种植 honeytoken，并在工具可能遭到攻击且可能导致软件供应链漏洞时进行监控和标记。

为了减少错误警报并提高信号的可靠性，该产品在发出警报之前会经过多个验证步骤。订阅 SaaS Sentinel 是免费的。

想了解更多关于 Honeytoken 的运作方式，请 安排演示。

作者：Esther Shein