Beyond Identity, ett cybersäkerhetföretag som levererar flerfaktorsinloggning, och GitLab, som står bakom utvecklarplattformen The One, inleder nu ett samarbete för att utvecklare ska kunna minska risken för cyberattacker som påverkar programvara redan under utvecklingsfasen. Skadlig kod som hamnar i källkoden under utvecklingen stannar annars kvar och blir till säkerhetsluckor i användarnas system. GitLabs utvecklarplattform är en av de mer använda bland systemutvecklare idag. Tillsammans med Beyond Identity ska de nu göra det enklare att stoppa avsiktliga sårbarheter från att föras in i koden under utvecklingen av ny programvara.
Detta är idag inte ett teoretiskt problem utan är exempelvis vad som drabbade Coop i Sverige, som 2021 tvingades stänga många av sina butiker i flera dagar. Risken för en sådan så kallad ”supply chain attack” har efter flera uppmärksammade intrång i samma stil hamnat på mångas agenda.
Den gemensamma lösningen från Beyond Identity och GitLab gör att företag kan se till att bara godkända användare som använder företagsgodkända och säkra datorer kommer åt koden som håller på att tas fram. Detta genom att använda speciellt svårforcerad multifaktorsautenticering som bland annat inte går att ta sig igenom med hjälp av phishingattacker. Funktionerna introduceras omgående i GitLab.
GitLabs DevOps-plattform One får nu stöd för kryptering för access och för att signera källkod som färdigställts. Verksamheter kan därmed veta hur koden kommit till, bland annat genom att veta exakt vem som skriver in ny kod. Detta har typiskt sett inte krävts tidigare i DevOps-team, och i de få undantag som ändå funnits så har det handlat om kryptering som inte är knuten till en viss organisation. Dessutom har det inte varit möjligt att säkerställa att utvecklare jobbar från en godkänd och säker dator, vilket gör att risken att få in skadlig kod varit stor.
Beyond Identitys lösning Secure DevOps är utformad för att stoppa intrång som sker via användaraccess, såsom stulna lösenord. Accessen automatiseras och blir säkrare genom att använda krypterade nycklar som är knutna till en individ och en dator som är godkända av företaget som äger koden. Därmed kan företag se till att varje enskild del av koden är gjord på ett godkänt sätt.
– Efter incidenterna med SolarWinds, Heroku och Kaseya har verksamheter över hela världen sett över hur de kan skydda sin kod bättre,” säger Jasson Casey, CTO på Beyond Identity. “Detta blir ännu viktigare eftersom en modern DevOps hanterar både källkod och infrastrukturkod - och båda behöver skyddas. De verktyg som finns för att scanna koden är också en viktig del, men de upptäcker inte alla sårbarheter och när de upptäcker ett problem så är det svårt att ta reda på vem som orsakade problemet i koden. Vårt samarbete gör det möjligt att skydda all kod och få överblick över vem som gör vilken ändring, säger Johnathan Hunt, säkerhetschef på GitLab