Der Anbieter von passwortlosen MFA-Lösungen, Beyond Identity, schließt mit seinem neuen Produkt „Secure DevOps“ eine kritische Sicherheitslücke und schützt die Software-Lieferkette vor Insider-Bedrohungen und kriminellen Angriffen.
Secure-DevOps bietet eine einfache, sichere und automatisierte Möglichkeit, um zu bestätigen, dass der gesamte Quellcode, der in ein Unternehmens-Repository gelangt und von der Continuous-Integration/Continuous-Deployment (CI/CD)-Pipeline verarbeitet wird, mit einem Schlüssel signiert ist. Dieser ist kryptografisch an eine Unternehmensidentität und ein Gerät gebunden und gewährleistet somit Vertrauen, Integrität und Nachvollziehbarkeit für jeden Quellcode, der in das Software-Endprodukt eingebaut wird.
Von Sunburst bis Kaseya – die Anfälligkeit der Software-Lieferkette und das Schadenspotenzial waren nie größer als heute. Mit der Verlagerung der Softwareentwicklung in die Cloud wurde die Build-Umgebung zu einem attraktiven Ziel für kriminelle Akteure, die eine tiefgreifende und umfassende Kompromittierung von Unternehmen anstreben.
Die Geschwindigkeit und die hoch agilen Prozesse in der Softwareentwicklung verhindern meist jedoch strengere Sicherheitskontrollen. Heute ist es praktisch unmöglich, die Herkunft des Quellcodes nachzuvollziehen, da die Entwickler den Quellcode, der in den Repositories des Unternehmens gespeichert ist, häufig nicht signieren – und diejenigen, die dies tun, in der Regel Schlüssel verwenden, die an eine persönliche Identität und nicht an eine validierte Unternehmensidentität gebunden sind.
Derzeit erfolgt das Signieren von Quellcodes in hohem Maße manuell und erfordert eine zentralisierte Schlüsselverwaltung. Dabei kommt es jedoch zu einer deutlichen Ausweitung der Schlüsselanzahl und dazu, dass Schlüssel nicht vertrauenswürdig sind, da sie von einem Gerät auf ein anderes übertragen werden können. Das Signieren von Binärdateien, die die CI/CD-Pipeline verlassen, ist zwar gängige Praxis, stellt aber nur sicher, dass der Produktionscode vom Unternehmen erstellt wurde und macht den früheren Teil des Prozesses anfällig für böswillige Entwickler oder Angreifer.
„Die agile Softwareentwicklung hat das Innovationstempo beschleunigt und die Rahmenbedingungen für viele Unternehmen verändert“, sagt Johnathan Hunt, Vice President of Security bei GitLab. „Wir sind davon überzeugt, dass Entwickler durch den Einsatz einer einzigen DevOps-Plattform wie GitLab, die Sicherheit in jede Phase des DevOps-Lebenszyklus einbinden, regressive Nacharbeiten reduzieren und Schwachstellen minimieren können. Wir schätzen den Wert, den Beyond Identity für die weitere Stärkung der Sicherheit von Quellcode-Commits und den Schutz vor bösartiger Code-Injektion bietet.“
Die neuartige Lösung von Beyond Identity stellt sicher, dass die Signierschlüssel für den Quellcode vertrauenswürdig sind, indem sie explizit an eine Unternehmensidentität und ein bestimmtes Gerät gebunden werden. Mit einer einfachen, einmaligen Einrichtung für Ingenieure und DevSecOps-Teams erstellt die Lösung unveränderliche GPG-Schlüssel, die an die Systeme der Mitarbeiter gebunden und in Hardware-Enklaven gesichert sind. Das ermöglicht auch eine bessere zentrale Kontrolle und den Widerruf von Schlüsseln. Die Folge ist eine lückenlose Nachverfolgung der Herkunft des Quellcodes zur Qualitätssicherung und forensischen Prüfung.
„Als Cloud-basiertes Unternehmen war der Authentifizierungsansatz von Beyond Identity für uns ein absolutes Muss“, so Mario Duarte, Vice President of Security bei Snowflake. „Beim Betrachten der innovativen Architektur, erkannten wir die unmittelbare Anwendbarkeit und den enormen Nutzen, insbesondere in Bezug auf die Signierung von Quellcode und GitHub. Es war eine perfekte Gelegenheit, um mit Beyond Identity ein Produkt zu entwickeln, das genau auf diese Sicherheitsbedenken zugeschnitten ist.“
„Es ist zwar einfacher, mit dem Signieren des Codes bis nach dem Build zu warten, aber es ist, als würde man einen Vertrag unterschreiben, ohne das Kleingedruckte zu lesen“, sagt TJ Jermoluk, CEO von Beyond Identity. Ähnlich wie bei einem Vertrag stecke der Teufel im Detail zwischen mehreren Entwicklern und einer Vielzahl von Quellcodeübertragungen. „Wie wir in letzter Zeit gesehen haben, können sich bösartige Injektionen jahrelang der Entdeckung entziehen und mehrere Unternehmen gefährden – unabhängig von der Wirksamkeit ihrer organisatorischen Sicherheitsvorkehrungen. Mit Secure Work nehmen wir den Nutzern nicht nur das Risiko und die Last von Passwörtern und Signierschlüsseln aus den Händen, sondern verbessern auch den Zugang und die Produktivität erheblich.“
#BeyondIdentity