- 企業のソースコード内に秘密が隠されていると考えると、パニックが広がる。
- この秘密は、不正な侵入やデータ侵害、評判の損害の可能性を招く力を持っている。
- 秘密を理解することは重要だが、適切な対応策を考えるためには文脈が必要。
- 文脈を持たないシークレットスキャナーは適切な対応策を提供することができない。
- シークレットの文脈を認識し、適切な対応策を取るための重要な要素を理解する必要がある。
(1) 企業のセキュリティ戦略では、文脈を持つことが重要。
- 秘密の重要性に基づいて分類を行い、対応策を優先する。
- 暴露の範囲と潜在的な影響を把握する。
- 暴露の根本原因を特定し、将来の攻撃を防ぐ。
(2) シークレットの充実化
- シークレットには重要なメタデータが含まれており、それらを活用することができる。
- シークレットのセキュリティとコンプライアンスの状況を示す秘密系図を作成することができる。
(3) 対策と予防
- 暴露されたシークレットに対応するための対策を速やかに取る。
- 将来の暴露を防ぐためのポリシーやプロセスを実装する。
- シークレットの監視と監査を定期的に行う。
(4) テクノロジーの活用
- 自動化を取り入れてシークレットの管理プロセスを効率化する。
- 文脈を提供することができるプラットフォームを活用する。
- 既存のツールやワークフローとの簡単な連携が可能なテクノロジーを選ぶ。
(5) セキュリティポストの最適化のために文脈を重視する。
- 文脈を持つことで、修復や予防のための情報を提供するためのテクノロジーを活用する。
以上が、暴露されたシークレットに取り組むための方法である。