Merhaba GeekNews okurları!
Çözmeye çalıştığımız problemle ilgili, tüm ekibimizin yakından takip ettiği GeekNews'te yayımlandığı için bizi çok sevindiren bir yazı vardı.
https://tr.news.hada.io/topic?id=13442
Konu yorumlarında bizi tanıtmamızı isteyenler olduğu için, emek vererek geliştirdiğimiz ürünümüzü tanıtmak istiyoruz.
- Proje tanıtımı
- Çeşitli SaaS servisleriyle entegrasyon için kullanılan Secret API Key'lere yönelik bir tespit hizmeti sunuyoruz.
- TruffleHog, GitLeaks gibi birçok araç var, ancak bunlar daha çok DevSecOps araçlarına odaklandığı için, gerçek güvenlik ekipleri ve altyapı yönetim ekipleri açısından kullanımda yüksek mühendislik maliyeti doğuran dezavantajları iyileştiriyoruz.
- Yalnızca GitHub ve GitLab değil, şu anda Confluence, Jira, Notion gibi alanlara kadar genişleyerek entegrasyon sağlayabiliyoruz.
- Credential (Secret, PII) odaklı bir güvenlik yapısı oluşturmanıza yardımcı oluyor ve tehdit yönetimi özellikleriyle kuruluşunuzun Credential güvenliği tehditlerini anlamanızı sağlıyoruz.
- SAML / OIDC entegrasyonu dahil olmak üzere çeşitli IDP'lerle bağlantı kurabilen özellikler sunuyoruz.
- Özellik tanıtımı
- Secret tespit özelliği sunuyoruz. Secret anahtarlarının durum bilgisini de anlayabildiğimiz için, Active / Inactive gibi durumlar üzerinden False-Positive sorunlarından uzaklaşabilirsiniz.
- PII tespit özelliği sunuyoruz. NLP içerdiği için yalnızca basit Regex yaklaşımına kıyasla bağlamı anlayarak kişisel bilgi ifşasını daha doğru tespit edebiliyor.
- Threat Policy özelliği sunuyoruz. Örneğin, Active durumdaki bir AWS Active Key'i yüksek tehdit olarak tanımlayabilir ve öncelikleri belirleyebilirsiniz.
- Dashboard özelliği sunuyoruz.
- Entegrasyon kapsamı genel olarak ikiye ayrılır.
** Target - Public GitHub gibi hedefler eklenerek izlenebilir.
** Integration - İç kullanım (Private) için GitHub, GitLab, Confluence, Jira, Notion vb. araçlarla entegre olabilir.
- Üye yönetimi
- Yetkiler genel olarak Administrator, Writer ve Reader olarak ayrılır; böylece organizasyon bazında geniş kapsamlı yönetim mümkündür.
- SAML / OIDC entegrasyonu üzerinden, kuruluşun kullandığı IDP ile bağlantı kurulabilir.
- Referans bağlantıları
- Support Center - https://support.cremit.io - Bilet sistemi ve dokümanlar üzerinden destek alabilirsiniz.
- Status Page - https://status.cremit.io - Servisin durumunu kontrol edebilirsiniz.
- Security Center - https://security.cremit.io - Cremit'in koruduğu güvenlik seviyesini inceleyebilirsiniz.
- Yol haritası - https://releases.cremit.io
- Entegrasyon kapsamının sürekli genişletilmesi - AWS S3, GCS, Azure Storage gibi alanlarda da sürekli sızıntı vakaları ve kişisel verilerin düzensiz yönetimi yaşanıyor. Bu nedenle Cremit ekibi bunları genişleme yol haritasına ekledi.
- Yönetim özelliklerinin sürekli genişletilmesi
- Threat özelliğiyle bağlantılı olarak Incident yönetimi yapmaya yönelik yönetim fonksiyonları sürekli genişletilecek.
- Secret tespit kapsamının sürekli genişletilmesi - SaaS araçları bugün bile her hafta onlarca kez güncelleniyor ve yeni entegrasyonlar ekleniyor. Bu nedenle Cremit ekibi Secret Pattern / Validation Pattern alanlarını sürekli F/U ederek güncelliyor.
- PII verileri için kullanıcı yönetimi özelliği eklenmesi - Şu anda Cremit tarafından yönetilen PII pattern'lerine kullanıcıların doğrudan yenilerini ekleyebilmesi mümkün olacak.
- Kullanıcının doğrudan yönettiği Authentication bilgilerine yönelik doğrulama özelliği eklenmesi
- İç Admin sistemi, back office vb. giriş bilgileriyle bağlantı kurarak bunları Secret ile ilişkilendirebilen özellikler eklenmesi planlanıyor.
- Diğer ek bilgiler
- Cremit, 2023 Mayıs'ta kurulmuş, henüz çok erken aşamadaki bir şirket. Neyse ki kuruluş yılının ağustos ayında Primer'dan ilk seed yatırımı alabildik.
- Ekibimizle görüşmek isterseniz, web sitemiz üzerinden dilediğiniz zaman toplantı talep edebilirsiniz!
- Şu anda ücretsiz kullanılabilen bir süre ve bir Free Plan bulunuyor. Özelliklerde bazı sınırlamalar olduğunu lütfen göz önünde bulundurun!
Servise kayıt URL'si - https://register.cremit.io
2 yorum
Bu tür tespit araçlarının çoğu genelde repository ya da kodla sınırlı kalıyordu; bunun Notion veya Jira gibi araçları da taraması güzel olmuş.
Evet, doğru! Mevcut araçlar daha çok DevSecOps'a odaklanıyor.
Biz ise iş birliği araçları, drive'lar, depolar ve Credential'ın açığa çıkabileceği tüm konumları tespit etmeyi hedefliyoruz!
İlginiz için teşekkür ederiz!