50%

Microsoft演示了自动化工具来解决项目平台上的安全威胁

2017-03-08 06:19:03 

访谈

微软正在展示一种自动化工具,帮助工程师在GitHub上进行软件开发协作时解决安全威胁,GitHub是一个发现,分叉和贡献项目的平台

在用户尝试确保保存项目期间可能会出现安全问题

“为了帮助保护我们的客户,Microsoft Azure(云计算平台)运行Credential Scanner,也称为CredScan,它监视GitHub并检查特定的Azure租户机密,例如Azure订阅管理证书和Azure SQL(结构化查询语言)连接字符串,“微软首席项目经理Brijesh Desai在一篇博文中写道

Desai写道,Azure秘密可以是身份验证凭据,例如密码,私钥,数据库连接字符串以及Azure租户管理的存储帐户密钥

“在Azure中,我们非常重视安全性

Azure秘密被认为是敏感的,不应公开

暴露的秘密可能导致Azure订阅,云资产和本地资产和数据遭到入侵,您的应用程序或服务将其置于极大的风险之中,“他写道

据Desai称,这家位于雷德蒙德的公司一直在”开发和利用CredScan“内部保护Azure及其第一方服务和应用程序

“他补充说微软计划添加和添加其GitHub扫描工具

发布对更多类型机密的支持.Desai说开发人员不需要做任何事情来选择工具因为该公司将检查GitHub上暴露的机密

如何运行

该工具首先扫描暴露的威胁,并在发现的情况下,通过微软网络防御运营中心发送的电子邮件通知Azure订阅所有者.Desai解释说电子邮件通知用户“提交”存在问题,以及受影响的订阅,资产,秘密类型以及如何解决风险的指导

他补充说,如果Azure ubscribers接收通知,源代码中可能有更多凭据,因此用户需要仔细查看它们并包括过去“提交”和“提交”历史记录的评论

用户应该从代码中轮换并删除所有这些秘密,并将它们存储在安全的位置,例如Azure Key Vault,他说