ללגיט אבטחה מוצר אבטחה בקוד פתוח
לגיט אבטחה (Legit Security), חברת אבטחת סייבר עם פלטפורמה תאגידית לאבטחת שרשרת אספקת התוכנה של ארגונים, הכריזה על Legitify, כלי אבטחה בקוד פתוח לאבטחת יישומי GitHub, הסורק תצורה שגויה של GitHub. הכלי מסייע לצוותי אבטחה ומהנדסי DevOps לנהל ולאכוף את תצורות GitHub שלהם באופן מאובטח וניתן להרחבה. Legitify הוא כלי אבטחה שעובד עם Windows, macOS ו-Linux ומייצג קבוצת משנה קטנה של כל היכולות שמציעה פלטפורמת Legit Security הרחבה יותר.
GitHub היא מערכת ניהול קוד מקור (SCM) פופולרית ביותר שנמצאת בלב שרשרת אספקת התוכנה של ארגונים רבים ומשמשת מפתחי תוכנה ברחבי העולם. מדובר במוצר מורכב, ומנהלני מערכת יכולים להתעלם מהגדרות ברירת מחדל לא מאובטחות ותצורות שגויות, וכך לגרום לפגיעויות אבטחה שעלולות לסכן את שרשרת אספקת התוכנה של הארגון.
לפני שחרורו של Legitify כקוד פתוח, אכיפת האבטחה על פני יישומי GitHub גדולים הייתה קשה וגזלה זמן רב בשל התצורות וההגנות הייחודיות הנדרשות לכל הפצה. אכיפה עקבית של אבטחה בארגון GitHub גדול הצריכה מאמץ ידני אינטנסיבי שהיה נתון לטעויות אנוש. Legitify נותנת מענה לאתגרים אלה ומסייעת להפוך את אבטחת GitHub לממוכנת. היא מאפשרת לחברות כמה יישומים באופן מאובטח ויעיל:
* לסרוק יישומי GitHub באמצעות שורת הפקודה כדי לזהות בעיות אבטחה הקשורות לתצורות ולהגדרות GitHub. אפשר להשתמש ב-Legitify לארגון GitHub שלם או להשתמש בו כדי לסרוק הפצת GitHub יחידה.
* להתחבר בקלות ל-GitHub באמצעות אסימון גישה ולזהות בעיות בארבעה סוגי משאבים: חברים, הפצות, פעולות וארגון. Legitify מאפשרת לסרוק לפי מאגר או סוג משאב מוגדר, או לסרוק ארגון GitHub שלם על כל סוגי המשאבים שלו.
* לזהות בעיות אבטחה ולהכין רשימה לפי שם הבעיה, כולל תיאור קצר וקטגוריה של רמת החומרה. כן מסופקים שלבי התיקון עם מספר הזיהוי של ההפרה.
* לשלב עם OSSF Scorecard כדי להפעיל את Scorecard בתוך Legitify, כדי להעריך את מעמד האבטחה באמצעות מסגרת Security Scorecard.
" Legitifyתחסוך זמן ותפחית טעויות אנוש עם יתרונות שגדלים ככל שהטמעת GitHub בתוך ארגון גדלה בגודל ובמורכבות", אמר ליאב כספי, מנהל טכנולוגיה ראשי ומייסד שותף של Legit Security. "אנו מחויבים לעזור ללקוחותינו להפחית סיכונים ולהגן על שרשרת אספקת התוכנה שלהם. לאחר שהקשבנו ללקוחות, כלי קוד פתוח כגון Legitify היה תשובה ברורה להתמודדות עם האתגר החריף של אבטחת תצורות GitHub בקנה מידה גדול."
מלבד Legitify, לגיט תרמה לקהילת אבטחת הסייבר עם חשיפה אחראית של פגיעויות אחרות של GitHub שהתגלו על ידי צוות המחקר שלה בתחום אבטחת הפנים. את הגילויים האלה אפשר למצוא בבלוג של Legit Security בכתובת www.legitsecurity.com/blog. לגיט היא גם חברה פעילה בארגונים כגון OpenSSL ו-Linux Foundation, שם היא תורמת לשיפור הכולל של פיתוח תוכנה מאובטחת ואבטחת שרשרת אספקת תוכנה.
יכולותLegitify מייצגות תת-קבוצה קטנה של יכולות האבטחה הרחבות יותר הזמינות בפלטפורמת Legit Security. פלטפורמת Legit Security חורגת הרבה מעבר לאבטחת GitHub על ידי אבטחת סביבות שרשרת אספקת תוכנה שלמות, כולל SCMs אחרים, שרתי בנייה, רישומי חפצים וצינורות פיתוח מקצה לקצה.
מידע נוסף על Legitify, כולל רשימת מוצרים והורדות
