Legit Security משיקה מוצר אבטחה בקוד פתוח כדי לאכוף ולהרחיב תצורות GitHub מאובטחות
Legitify, שפותח באמצעות קוד פתוח, מגלה באופן אוטומטי פגיעויות GitHub כדי ששרשרת אספקת התוכנה תהיה מאובטחת יותר
Legit Security, חברת אבטחת סייבר עם פלטפורמה תאגידית לאבטחת שרשרת אספקת התוכנה של הארגון, הכריזה על Legitify, כלי אבטחה בקוד פתוח לאבטחת יישומי GitHub. Legitify הוא סורק תצורה שגויה של GitHub המסייע לצוותי אבטחה ומהנדסי DevOps לנהל ולאכוף את תצורות GitHub שלהם בצורה מאובטחת וניתנת להרחבה. Legitify הוא כלי אבטחה חוצה פלטפורמות שעובד עם Windows, macOS ו-Linux ומייצג קבוצת משנה קטנה של כלל היכולות שמציעה פלטפורמת Legit Security הרחבה יותר.
GitHub היא מערכת ניהול קוד מקור (SCM) פופולרית ביותר שנמצאת בלב שרשרת אספקת התוכנה של ארגונים רבים, והיא משמשת מפתחי תוכנה ברחבי העולם. עם זאת, GitHub הוא מוצר מורכב, ומנהלני מערכת יכולים להתעלם מהגדרות ברירת מחדל לא מאובטחות ותצורות שגויות, וכך לגרום לפגיעויות אבטחה שעלולות לסכן את שרשרת אספקת התוכנה של הארגון.
לפני שחרורו של Legitify כקוד פתוח, אכיפת האבטחה על פני יישומי GitHub גדולים הייתה קשה וגזלה זמן רב בשל התצורות וההגנות הייחודיות הנדרשות עבור כל הפצה. אכיפה עקבית של אבטחה בארגון GitHub גדול הצריכה מאמץ ידני אינטנסיבי שהיה נתון לטעויות אנוש.
Legitify נותנת מענה לאתגרים אלה ומסייעת להפוך את אבטחת GitHub לממוכנת כשהיא מאפשרת לחברות בצורה מאובטחת ויעילה:
*לסרוק יישומי GitHub באמצעות שורת הפקודה כדי לזהות בעיות אבטחה שונות הקשורות לתצורות והגדרות GitHub. ניתן להשתמש ב-Legitify עבור ארגון GitHub שלם או להשתמש בו כדי לסרוק הפצת GitHub יחידה.
*להתחבר בקלות ל-GitHub באמצעות אסימון גישה ולזהות בעיות בארבעה סוגי משאבים: חברים, הפצות, פעולות וארגון. Legitify מספקת אפשרות לסרוק לפי מאגר ו/או סוג משאב מוגדר, או לסרוק ארגון GitHub שלם על כל סוגי המשאבים שלו.
*לזהות בעיות אבטחה ולהכין רשימה לפי שם הבעיה, כולל תיאור קצר וקטגוריה של רמת החומרה. כן מסופקים שלבי התיקון עם מספר הזיהוי של ההפרה.
*לשלב עם OSSF Scorecard כדי שתוכלו להפעיל את Scorecard בתוך Legitify כדי להעריך את מעמד האבטחה באמצעות מסגרת Security Scorecard.
” Legitify תחסוך זמן ותפחית טעויות אנוש עם יתרונות שגדלים ככל שהטמעת GitHub בתוך ארגון גדלה בגודל ובמורכבות”, אמר ליאב כספי, מנהל טכנולוגיה ראשי ומייסד שותף של Legit Security. “אנו מחויבים לעזור ללקוחותינו להפחית סיכונים ולהגן על שרשרת אספקת התוכנה שלהם. לאחר שהקשבנו ללקוחות, כלי קוד פתוח כמו Legitify היה תשובה ברורה להתמודדות עם האתגר החריף של אבטחת תצורות GitHub בקנה מידה גדול”.
בנוסף ל-Legitify, Legit Security תרמה לקהילת אבטחת הסייבר עם חשיפה אחראית של פגיעויות אחרות של GitHub שהתגלו על ידי צוות המחקר שלהם בתחום אבטחת הפנים. את הגילויים האלה ניתן למצוא בבלוג של Legit Security בכתובת https://www.legitsecurity.com/blog. Legit Security היא גם חברה פעילה בארגונים כגון OpenSSL ו- Linux Foundation, שם החברה תורמת באופן פעיל לשיפור הכולל של פיתוח תוכנה מאובטחת ואבטחת שרשרת אספקת תוכנה.
יכולות Legitify מייצגות תת-קבוצה קטנה של יכולות האבטחה הרחבות יותר הזמינות בפלטפורמת Legit Security. פלטפורמת Legit Security חורגת הרבה מעבר לאבטחת GitHubעל ידי אבטחת סביבות שרשרת אספקת תוכנה שלמות, כולל SCMs אחרים, שרתי בנייה, רישומי חפצים, צינורות פיתוח מקצה לקצה ועוד. מידע נוסף על פלטפורמת Legit Security ניתן למצוא באתר האינטרנט של החברה: https://www.legitsecurity.com.