.avif)
レビュー
「AikidoはISOとSOC2の認証取得に役立つ統合された自動レポーティング・ソリューションのおかげで、御社のセキュリティを御社の強みの1つにします。」
ファブリス・G
Kadonation代表取締役
.png)
秘密の検出
ハッカーより先に漏えいした秘密をつかめ
Aikido 、公開されたAPIキー、認証情報、およびトークンについて、それらが本番環境に到達する前に、コードをスキャンします。
最も重要な秘密を浮き彫りにする- メンテナンスフリーのCI/CD統合
- 安全または非アクティブな秘密を無視する
.avif)
世界25,000以上の組織から選ばれる
秘密発見の重要性
なぜ機密スキャンが重要なのか
開発者が犯しがちなミスの1つに、誤って機密を漏らしてしまうというものがあります。これには、APIキー、パスワード、暗号化キー、プライベートキーなどの機密情報が含まれます。
安全であることが確認された秘密に対しては、あえて検出や追跡を行わず、無視される仕組みになっています。
安全であることが分かっているシークレットを認識し、アラートをトリガーしないように自動管理する(例:Stripe発行可能キー、フロントエンドで使用されるGoogle Maps APIキー)。
無関係な秘密をフィルタリング
Aikidoはすでに無効な秘密情報や、単なる変数名と思われるものは、自動的に無視されるため、不要なアラートが発生しません。Aikidoは秘密データを生成しない認可を必要とするAPIエンドポイントにリクエストを送ることで、既知のシークレットタイプの妥当性を安全に検証します。
高度な機能
秘密スキャン機能
1つのプラットフォームでフルカバレッジ
散在しているツールスタックを、すべてをこなし、何が重要かを示してくれる1つのプラットフォームに置き換えましょう。
よくあるご質問
もっと探索する
秘密検知とは何ですか?また、なぜコード内のAPIキーや認証情報の漏洩を心配しなければならないのですか?
シークレット検出は、公開されたAPIキー、パスワード、トークン、認証情報をコードからスキャンします。漏洩したシークレットは、攻撃者にシステムへの直接アクセスを与え、データ漏洩やコストのかかるクラウドの悪用につながる可能性があります。レポ内の単一のAWSキーでさえ悪用される可能性があります。シークレットスキャンは、これらの問題がプッシュまたはマージされる前にキャッチするのに役立ち、不正アクセスからインフラを保護します。
Aikido秘密スキャンはどのように機能し、どのような種類の秘密(APIキー、トークン、パスワード)をキャッチすることができますか?
Aikido 、既知のシークレットパターンとハイエントロピー文字列のためにあなたのコードと設定ファイルをスキャンします。APIキー、トークン、プライベートキー、DBクレジットなどを検出します。パターンマッチング、エントロピー分析、検証ロジックを使用して、誤報を最小限に抑えながら本当の秘密を特定します。暴露されると危険なほど機密性の高いものにフラグを立てます。
Aikido 私のgit履歴全体をスキャンして秘密を探しますか、それとも最新のコード・コミットだけをスキャンしますか?
デフォルトでは、Aikido 現在のコードをスキャンしますが、Git の全履歴をスキャンして、古いコミットで公開された秘密を検出することもできます。履歴スキャンはオプションで設定可能で、追加や削除が行われたにもかかわらずレポジトリの履歴からアクセス可能な秘密を検出するのに最適です。
Aikidoシークレットスキャンを自分のワークフロー(CIパイプラインやプリコミットフック)に組み込んで、リークを早期に発見するにはどうすればいいでしょうか?
Aikido CIパイプラインに統合し、検出されたシークレットでビルドやPRをブロックすることができます。また、開発中にリアルタイムでフィードバックするためのIDE拡張やコミット前フックもサポートしています。これにより、シークレットが本番ブランチに到達する前に、シークレットの検出が自動的に行われます。
Aikido 秘密検出で誤検出が多いのですか(例えば、ランダムなIDを秘密と間違えるなど)?
Aikido 誤検知を減らすように最適化されている。既知の公開鍵(Stripeの公開鍵など)にフラグを立てることを避け、テスト値やランダムなデータをフィルタリングします。可能な限り、アラートを発する前に秘密の有効性を検証するため、得られる結果は適切で実用的です。
Aikido のシークレット・スキャナーを、特定のパターンや既知のテスト認証情報を無視するように設定できますか?
無視ルール、パターン、注釈を追加して、Aikido 既知のテスト値にフラグを立てないようにすることができます。また、ダッシュボードで所見を「修正しない」または「安全」とマークすることもできます。このチューニングは、アラートの疲労を軽減し、フラグを立てる対象をコントロールするのに役立ちます。
もしAikido 漏洩した秘密を発見したら、どうするのか。警告するのか、コミットを阻止するのか、取り消す手助けをするのか。
Aikido 直ちに警告を発し、コミットやビルドをブロックすることができる(CIに統合されている場合)。ファイル、行、キータイプを表示し、秘密の取り消しを推奨する。Aikido 鍵を直接失効させるわけではないが、アクティブな認証情報をハイライトし、次に何をすべきかをガイドしてくれる。
Aikido秘密スキャンは、GitGuardianやGitleaksのようなツールと比較してどうですか?
Aikido GitGuardian/Gitleaksと同等の検知品質を提供するが、シークレットスキャンをより広範なセキュリティプラットフォームに統合する。文脈に沿ったトリアージでノイズを減らし、コード、クラウド、IaC、シークレットにまたがるアラートを一元化する。すべてのリスクに1つのツールで対応できるため、複数のプラットフォームを使いこなす必要がありません。
Aikido ソースコードにのみ秘密を検出するのですか、それとも設定ファイルやYAMLのような他の場所にも検出するのですか?
コード、YAML、JSON、.envファイル、Terraform、コミットメッセージなど、すべてのテキストファイルをスキャンします。秘密は設定やマニフェストの中に隠れていることが多いので、Aikido それらがどこに現れても偶発的なリークをキャッチするためにそれらをすべてチェックします。
すでにGitHubのシークレットスキャンやプレコミットフックを使っているのなら、なぜAikidoシークレット検出が必要なのでしょうか?
Aikido GitHubのスキャンとフックを、より広いカバレッジ(マルチプラットフォーム対応)、一元化されたアラート、より深いコンテキストで補完します。開発者のセットアップに依存することなく、誤検知を減らし、フックがバイパスされたとしても、すべてのレポジトリの秘密をキャッチします。フックを迂回した場合でも、すべてのリポジトリで秘密をキャッチします。
もっと探索する
無料で安全を確保
コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。
.avif)
