برای کمک به توسعه دهندگان خود در ایجاد تمرکز در امنیت ، ترک اسرار در کد خود را متوقف کنید

توسعه دهندگان به طور خستگی ناپذیر کار می کنند تا مطمئن شوند برنامه های آنها بدون مشکل کار می کنند. توسعه دهندگان به طور مداوم برنامه ریزی ، اشکال زدایی و تکرار می کنند. بشویید ، بشویید و تکرار کنید. در طول چرخه توسعه ، آن مهندسان نرم افزار برای توجه کامل به تمام جنبه های فرآیند ، همه تلاش خود را می کنند.

با این حال ، یک زمینه وجود دارد که برخی از توسعه دهندگان از آن کوتاهی می کنند – امنیت.

گسترده ترین آسیب پذیری امنیتی ترک اسرار در کد است. رازها بیت هایی از کد ، اغلب رمزهای عبور ، کلیدهای رمزگذاری یا کلیدهای API هستند که نرم افزار را قادر می سازد به حساب های شخص ثالث ، API ها ، برنامه ها یا خدمات متصل شود. با ظهور CI / CD ، ابرهای ترکیبی ، برنامه های وب و کانتینرها ، اسرار برای توسعه دهندگان اهمیت بیشتری پیدا کرده اند.

مشکلات ترک اسرار در کد

پاسخ این سوال واقعاً کاملاً ساده است. فرض کنیم توسعه دهندگان شما در حال ایجاد برنامه ای هستند که باید از طریق یک کلید رمزگذاری API با سرویس های Google ارتباط برقرار کند. یکی از توسعه دهندگان شما یک میانبر می گیرد و کلید Google API شما را در کد خود اضافه می کند و سپس آن کد را به GitHub متعهد می کند.

در مرحله بعدی ، یک هکر به مخزن GitHub شرکت شما دسترسی پیدا می کند و کلید Google API شما را پیدا می کند. آنها اکنون امکانات دسترسی به …