3 điểm bởi cremit 2024-03-09 | 2 bình luận | Chia sẻ qua WhatsApp

Xin chào mọi người trên GeekNews!

Chúng tôi đang giải quyết một vấn đề, và thật vui khi thấy có một bài viết về đúng chủ đề đó được đăng trên GeekNews, nơi cả nhóm chúng tôi đều thường xuyên theo dõi.
https://vi.news.hada.io/topic?id=13442
Trong phần bình luận của thread có người nói muốn được giới thiệu, nên chúng tôi xin giới thiệu sản phẩm mà cả đội đã dày công xây dựng.

  1. Giới thiệu dự án
  • Chúng tôi cung cấp dịch vụ phát hiện các Secret API Key được sử dụng để tích hợp với nhiều dịch vụ SaaS khác nhau.
  • Có nhiều công cụ như TruffleHog, GitLeaks, nhưng chúng thiên nhiều về các công cụ DevSecOps, nên từ góc nhìn của đội bảo mật hay đội quản trị hạ tầng, chi phí kỹ thuật để sử dụng trong thực tế khá cao; chúng tôi đang cải thiện nhược điểm đó.
  • Không chỉ GitHub, GitLab mà hiện tại còn có thể mở rộng tích hợp tới Confluence, Jira, Notion và các phạm vi khác.
  • Giúp xây dựng bảo mật xoay quanh Credential (Secret, PII), đồng thời cho phép nắm bắt các mối đe dọa bảo mật Credential của tổ chức thông qua tính năng quản lý mối đe dọa.
  • Cung cấp các tính năng có thể liên kết với nhiều IDP khác nhau như tích hợp SAML / OIDC.
  1. Giới thiệu tính năng
  • Cung cấp tính năng phát hiện Secret. Có thể xác định cả thông tin trạng thái của Secret key, như Active / Inactive, giúp giảm False-Positive thông qua các trạng thái này.
  • Cung cấp tính năng phát hiện PII. Có tích hợp NLP nên thay vì chỉ dùng Regex đơn thuần, hệ thống có thể hiểu ngữ cảnh để phát hiện việc lộ thông tin cá nhân chính xác hơn.
  • Cung cấp tính năng Threat Policy. Ví dụ, có thể định nghĩa AWS Active Key đang ở trạng thái Active là mối đe dọa mức High và xác định mức độ ưu tiên.
  • Cung cấp tính năng Dashboard.
  • Phạm vi tích hợp được chia thành hai nhóm lớn.
    **Target - Có thể thêm Public GitHub v.v. để theo dõi.
    **Integration - Dành cho nội bộ (Private), có thể tích hợp GitHub, GitLab, Confluence, Jira, Notion v.v.
  1. Quản lý thành viên
  • Quyền hạn được chia lớn thành Administrator, Writer, Reader, cho phép vận hành tổ chức theo phạm vi rộng cho từng tổ chức.
  • Có thể tích hợp với IDP mà tổ chức đang vận hành thông qua SAML / OIDC.
  1. Liên kết tham khảo
  1. Roadmap - https://releases.cremit.io
  • Mở rộng liên tục phạm vi tích hợp - AWS S3, GCS, Azure Storage cũng đang liên tục xảy ra các sự cố rò rỉ và việc quản lý thông tin cá nhân thiếu kiểm soát. Vì vậy, đội Cremit đã đưa các hạng mục này vào roadmap mở rộng.
  • Mở rộng liên tục các tính năng quản lý
  • Các tính năng quản lý cho phép xử lý Incident gắn với tính năng Threat sẽ tiếp tục được mở rộng.
  • Mở rộng liên tục phạm vi phát hiện Secret - Các công cụ SaaS vẫn đang được cập nhật và tích hợp thêm hàng chục cái mỗi tuần. Vì vậy, đội Cremit liên tục F/U và cập nhật Secret Pattern / Validation Pattern.
  • Bổ sung tính năng quản lý cho người dùng đối với dữ liệu PII - Hiện tại, các PII pattern do Cremit quản lý theo kiểu managed có thể được người dùng tự thêm trực tiếp.
  • Bổ sung tính năng xác minh đối với các thông tin Authentication do người dùng trực tiếp xử lý
  • Chúng tôi dự định bổ sung tính năng liên kết Secret với thông tin đăng nhập của hệ thống Admin nội bộ, back-office v.v.
  1. Một số thông tin bổ sung khác
  • Cremit là một công ty ở giai đoạn rất sớm, được thành lập vào tháng 5 năm 2023; may mắn là vào tháng 8 cùng năm, chúng tôi đã nhận được khoản đầu tư seed ban đầu từ Primer.
  • Nếu bạn cần trao đổi với đội ngũ của chúng tôi, hãy đăng ký lịch họp qua website bất cứ lúc nào!
  • Hiện tại có thời gian dùng miễn phí và cả Free Plan. Xin lưu ý rằng sẽ có một số giới hạn về tính năng.

URL đăng ký dịch vụ - https://register.cremit.io

2 bình luận

 
00001 2024-03-11

Hầu hết các công cụ phát hiện kiểu này thường chỉ giới hạn ở repository hoặc mã nguồn, nhưng cái này còn phát hiện được cả trên các công cụ như Notion hay Jira nên rất hay.

 
cremit 2024-03-11

Đúng vậy! Các công cụ hiện có chủ yếu tập trung vào DevSecOps.
Bọn mình đặt mục tiêu phát hiện mọi vị trí có thể làm lộ Credential, như công cụ cộng tác, drive và kho lưu trữ!
Cảm ơn bạn đã quan tâm!