Seguridad

1Password fomenta la seguridad de los desarrolladores con un nuevo conjunto de herramientas

Un fabricante de administradores de contraseñas está tratando de alentar a los desarrolladores de software a adoptar una administración de secretos más segura con algunas características nuevas agregadas a su producto estrella.

1Password, que se lanzó con el nombre de Developer Tools, declaró que las nuevas funciones ayudarán a los desarrolladores a generar, administrar y acceder a secretos de manera fácil y segura en sus flujos de trabajo normales.

Las herramientas también ayudarán a simplificar procesos complejos y mejorarán las prácticas de seguridad para garantizar que los datos estén protegidos, sin ralentizar el proceso de desarrollo, agregó, y brindarán a los desarrolladores acceso seguro a los secretos que necesitan dondequiera que estén, independientemente del dispositivo que utilicen. están usando.

“Históricamente, una de las mayores limitaciones para asegurar la codificación y las operaciones fueron las herramientas para administrar de forma segura los secretos: las contraseñas y claves que se necesitan para interconectar componentes de manera segura”, observó Casey Bisson, jefe de relaciones con desarrolladores y productos de BluBracket, un proveedor de código. soluciones de seguridad en Palo Alto, California.

“En demasiados casos”, dijo a TechNewsWorld, “estos secretos se almacenan en código. Pero un secreto en código es un secreto contado”.

Citando un estudio realizado por 1Password, su Director de Producto y Gerente General de Soluciones Emergentes Akshay Bhargava le dijo a TechNewsWorld que uno de cada cuatro empleados en las empresas de TI DevOps tiene secretos en 10 o más ubicaciones y los ha compartido con colegas que utilizan canales inseguros, como en un correo electrónico o mensaje de Slack.

Agregó que uno de cada tres trabajadores de DevOps de TI dice que compartirá secretos a través de canales inseguros, si eso les ayuda a hacer su trabajo más rápido.

Es más, continuó, el 61 por ciento de los proyectos se retrasan debido a la mala gestión de los secretos.

Fácil gestión de claves SSH

Las nuevas funciones de la oferta de herramientas para desarrolladores incluyen la gestión de claves SSH, que permite a los desarrolladores almacenar y utilizar claves SSH con solo unos pocos clics.

Para ayudar a evitar errores, 1Password para el navegador autocompletará las claves públicas de un desarrollador en sitios populares, incluidos GitHub, GitLab, BitBucket y Digital Ocean.

Luego, con un agente SSH incorporado, los usuarios pueden enviar código a GitHub y autenticar otros flujos de trabajo SSH en una terminal simplemente escaneando sus huellas dactilares, lo que aumenta la seguridad con menos esfuerzo.

crear y completar la clave SSH en 1Password

Los desarrolladores ya no necesitan recordar o escribir frases de contraseña clave, copiar claves manualmente a nuevos dispositivos o almacenar archivos en su disco, evitando así el cifrado débil de claves SSH y otros riesgos de seguridad.

“Toda la molestia de intercambiar claves en diferentes máquinas, agregar y eliminar claves del agente, ingresar frases de contraseña de las claves, ahora es solo una autenticación biométrica”, dijo Marcel Kersten, desarrollador de software en ComLine GmbHd, en un comunicado.

Nueva CLI y bóveda de secretos

Una nueva interfaz de línea de comandos, con sintaxis mejorada y un nuevo desbloqueo biométrico, permite a los desarrolladores administrar rápidamente secretos, proporcionar usuarios o automatizar flujos de trabajo en una terminal sin cambiar de sus herramientas de desarrollo o escribir contraseñas manualmente.

ID táctil CLI de 1 contraseña

Developer Tools también simplifica la administración de claves con los comandos de inyección y ejecución de CLI, lo que permite a los desarrolladores codificar con referencias secretas que se sustituyen por claves API reales de su bóveda en tiempo de ejecución.

“La nueva CLI de 1Password permitió a nuestro equipo de desarrollo web ahorrar tiempo al sincronizar contraseñas y claves API de una manera mucho más segura que antes”, dijo Craig Haseler, gerente de proyectos de TechSource, en un comunicado.

“Recomiendo enfáticamente a cualquier equipo de desarrollo web que considere el uso de las herramientas CLI de 1Password para aumentar la seguridad y la eficiencia”, agregó.

Bóvedas cifradas para almacenar secretos, de modo que en lugar de codificarlos o almacenarlos como texto sin formato no seguro, en archivos de configuración o en hojas de cálculo, los desarrolladores pueden administrar y acceder a sus secretos en un solo lugar dentro de sus herramientas y flujos de trabajo preferidos.

El almacenamiento de secretos en bóvedas cifradas, y como uno de varios tipos de elementos predeterminados (credencial de API, cuenta de AWS, base de datos, servidor o clave SSH), ayudará a prevenir infracciones causadas por secretos filtrados.

Developer Tools también facilita la colaboración al proporcionar acceso seguro a los secretos en todo el equipo.

Atajos desalentadores

Las nuevas herramientas de 1Password tienen como objetivo fomentar una mejor gestión de secretos por parte de los desarrolladores y disuadirlos de tomar atajos que pueden crear riesgos de seguridad.

“No se trata tanto de tomar atajos, sino de encontrar una manera de trabajar dentro de los plazos impuestos y tratar de ser lo más eficiente posible”, explicó Daniel Kennedy, director de investigación de redes y seguridad de la información, en 451 Research, que forma parte de S&P Global Market Intelligence. .

“Las organizaciones instalan todo tipo de procesos bien intencionados, escaneo de código y otras herramientas de prueba de aplicaciones, y si crean mucha fricción en la vida diaria de los desarrolladores, hasta el punto en que piensan que la carga supera el valor, tienen mucho de agencia, a veces agencia oculta, para sortear estos impedimentos”, dijo a TechNewsWorld.

“A los desarrolladores no se les paga para brindar seguridad. Se les paga para ofrecer funciones”, agregó John Bambenek, principal cazador de amenazas en Netenrich, una empresa de operaciones de seguridad digital y TI en San José, California.

“A menudo operan en plazos ajustados para apresurarse al mercado, lo que significa que cualquier retraso, incluso por seguridad, puede dejarse de lado”, dijo a TechNewsWorld.

Lápiz labial en un cerdo de seguridad

Tradicionalmente, se ha considerado que la seguridad ralentiza a los desarrolladores. «Este no tiene por qué ser el caso y los proveedores más nuevos, los verdaderos proveedores de DevSecOps, se han dado cuenta de esto y a los desarrolladores les encanta usarlos porque en realidad aceleran el desarrollo, no lo ralentizan», observó Larry Maccherone, evangelista de transformación de DevSecOps en Contrast Security. un fabricante de soluciones de software de autoprotección en Los Altos, California.

“Sin embargo, la mayoría de los proveedores de herramientas de seguridad son solo lápiz labial DevOps en un cerdo de seguridad tradicional”, dijo a TechNewsWorld.

DevSecOps ha creado un sentido de responsabilidad compartida en el universo de desarrollo, sostuvo Josh Bressers, vicepresidente de seguridad de Anchore, una empresa de seguridad de desarrollo de software en Santa Bárbara, California.

«Si observa modelos de desarrollo más tradicionales, tenía desarrollo, tenía pruebas, tenía seguridad, tenía todos estos grupos diferentes con objetivos ligeramente diferentes». le dijo a TechNewsWorld. “Cada vez que tienes diferentes grupos con diferentes objetivos, obtienes resultados diferentes. En DevSecOps, donde se comparte la responsabilidad, los objetivos están más alineados”.

“Cuando se considera cómo la mayoría de las empresas abordaron originalmente la creación de código seguro, que consistía en escanear enormes bases de código y luego en proyectos de limpieza masivos, hemos recorrido un largo camino”, agregó Kennedy.

“Hacer que la seguridad llegue cuando un proyecto está a punto de entrar en producción con cientos de vulnerabilidades para limpiar no es un enfoque eficaz para la seguridad de las aplicaciones”, continuó. “Si los escaneos se pueden realizar de forma incremental en los puntos apropiados de una tubería de desarrollo, esa es una manera mucho más fácil de garantizar que las aplicaciones se creen y actualicen con la debida consideración a la seguridad”.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba