密碼安全性

開發人員會使用密碼，以便透過應用程式安全地與其他雲端服務進行通訊。然而，將密碼儲存在如 GitHub 等版本控制系統 (VCS) 的檔案中並不安全，因為這樣會產生潛在的弱點而遭到有心人士的利用。例如，當開發人員以原始程式碼的形式存放其密碼時，就經常會發生這樣的情況。一旦將密碼提交到儲存庫後，系統就會將其儲存在歷史記錄中，讓任何使用者都能輕易存取這些金鑰。尤其是當儲存庫內容被設為公開時風險就更大，因為攻擊者很輕易就可以找到並利用這些資源。

大部分的工具都只會選擇性地在應用程式生命週期的某個階段掃描密碼，因此可能會忽略某些類型的密碼。Prisma® Cloud 可以確保密碼不會意外遭到暴露，同時可將誤判的機率降到最低並維持開發速度。

1

硬式編碼的密碼對於雲端原生開發來說相當常見。

雖然硬式編碼憑證對於開發人員來說在使用及存取上相當方便，但並不是最佳實務。尤其對於矩陣型開發的企業和雲端儲存庫來說更是危險。不幸的是這樣的情況可以說是司空見慣，有超過 41% 的儲存庫都存放著密碼。

2

公開暴露會擴大風險。

密碼通常會暴露在 VCS 或登錄的公用儲存庫中。此外，任何直接新增至原始程式碼、IaC、CI/CD 設定檔案等位置的密碼都有可能顯示在 VCS 中，或是意外暴露於組建日誌。

3

孤立的工具造成涵蓋範圍落差。

在組建和執行階段中，獨立的密碼掃描器通常缺乏一致的涵蓋範圍。若未嵌入更廣泛的 CNAPP 策略，企業將無法全盤掌握任何可能的風險。

Prisma Cloud 讓開發人員可以透過無縫方式預防組建和執行階段中的密碼遭到暴露。

Prisma Cloud 會整合 DevOps 工具與程式碼、組建、部署和執行階段，以持續掃描在整個開發生命週期中暴露的密碼。在透過強大的多面向方法結合以特徵碼為基礎的政策庫與微調的熵模式後，Prisma Cloud 就可以在 IaC 範本、黃金映像和 Git 儲存庫的幾乎任何檔案類型中識別密碼。

多個偵測方法可以識別例如隨機字串或密碼等複雜的秘密訊息。
風險因子會提供密碼相關脈絡來簡化優先順序排定和補救。
與開發人員工具和工作流程的原生整合。

PRISMA CLOUD 解決方案

開發人員優先、多面向的密碼安全性

精確偵測

使用規則運算式的密碼 (存取權杖、API 金鑰、加密金鑰、OAuth 權杖，以及證書等等) 是最常見的類型。Prisma Cloud 會利用超過 100 個特徵碼並透過已知且可預測的運算式來偵測各式各樣的密碼並發出警示。

廣泛的涵蓋範圍
超過 100 個網域特定密碼偵測器可確保組建和執行階段中的精準警示。
廣泛和深入的掃瞄
在儲存庫的所有檔案和各種整合的版本歷史記錄中掃描密碼。

微調的熵模式

並非所有密碼都是採用一致或可識別的模式。例如，以特徵碼為基礎的方法可能就偵測不到隨機字串使用者名稱和密碼，因為這些都是採用隨機形式、可能暴露「天國之鑰」以及可公開存取的訊息。Prisma Cloud 可透過微調的熵模式來增強以特徵碼為基礎的偵測。

微調的熵模式
微調的熵模式可利用字串脈絡精準地識別複雜的密碼類型，因此可避免誤判。
無與倫比的可視性
雲端開發人員可能會在廣泛的情境中使用密碼，因此可透過該模式來取得全面的可視性和控制。

開發人員回饋

開發人員可透過幾種不同方式來分析與遭暴露或易受攻擊的密碼有關的風險：

專案
開發工作流程中的原生整合，以及在不合規的檔案中無縫顯示偵測的密碼。
供應鏈
供應鏈圖形會顯示原始程式碼檔案節點。對於相依性樹狀結構的詳細調查可協助開發人員識別密碼暴露的根本原因。
提取要求註解
使用者可在其提取要求掃描中找出可能洩露的密碼，並可輕鬆將其移除。
預先交付的勾點和 CI 整合
利用預先交付的勾點封鎖密碼以避免在開啟提取要求之前就將其推送至儲存庫。

CNAPP 的部分

對於雲端原生應用程式的安全性來說，確保完整涵蓋範圍的唯一方法就是在開發生命週期的每個層級和步驟中嵌入密碼掃描。您只需要按一下就可以啟動 Prisma Cloud 密碼模組，它同時也是業界最全面的雲端原生應用程式保護平台的一部分。

識別供應鏈中的密碼
在 GitHub 等儲存庫以及 Docker、Quay、Artifactory 等登錄中檢查是否有已暴露的密碼。
避免在執行階段中暴露密碼
充分利用從程式碼到雲端的整體可視性，並透過執行階段政策在執行工作負載和雲端資源時識別暴露的密碼。

程式碼安全模組

基礎結構即程式碼安全性

自動化的 IaC 安全性已嵌入開發人員工作流程

進一步了解

軟體組成分析 (SCA)

脈絡感知開放原始碼安全性和授權合規性

進一步了解

軟體供應鏈安全性

對於軟體元件和管道的端對端防護

進一步了解