3 puan yazan cremit 2024-03-09 | 2 yorum | WhatsApp'ta paylaş

Merhaba GeekNews okurları!

Çözmeye çalıştığımız problemle ilgili, tüm ekibimizin yakından takip ettiği GeekNews'te yayımlandığı için bizi çok sevindiren bir yazı vardı.
https://tr.news.hada.io/topic?id=13442
Konu yorumlarında bizi tanıtmamızı isteyenler olduğu için, emek vererek geliştirdiğimiz ürünümüzü tanıtmak istiyoruz.

  1. Proje tanıtımı
  • Çeşitli SaaS servisleriyle entegrasyon için kullanılan Secret API Key'lere yönelik bir tespit hizmeti sunuyoruz.
  • TruffleHog, GitLeaks gibi birçok araç var, ancak bunlar daha çok DevSecOps araçlarına odaklandığı için, gerçek güvenlik ekipleri ve altyapı yönetim ekipleri açısından kullanımda yüksek mühendislik maliyeti doğuran dezavantajları iyileştiriyoruz.
  • Yalnızca GitHub ve GitLab değil, şu anda Confluence, Jira, Notion gibi alanlara kadar genişleyerek entegrasyon sağlayabiliyoruz.
  • Credential (Secret, PII) odaklı bir güvenlik yapısı oluşturmanıza yardımcı oluyor ve tehdit yönetimi özellikleriyle kuruluşunuzun Credential güvenliği tehditlerini anlamanızı sağlıyoruz.
  • SAML / OIDC entegrasyonu dahil olmak üzere çeşitli IDP'lerle bağlantı kurabilen özellikler sunuyoruz.
  1. Özellik tanıtımı
Reklam
  • Secret tespit özelliği sunuyoruz. Secret anahtarlarının durum bilgisini de anlayabildiğimiz için, Active / Inactive gibi durumlar üzerinden False-Positive sorunlarından uzaklaşabilirsiniz.
  • PII tespit özelliği sunuyoruz. NLP içerdiği için yalnızca basit Regex yaklaşımına kıyasla bağlamı anlayarak kişisel bilgi ifşasını daha doğru tespit edebiliyor.
  • Threat Policy özelliği sunuyoruz. Örneğin, Active durumdaki bir AWS Active Key'i yüksek tehdit olarak tanımlayabilir ve öncelikleri belirleyebilirsiniz.
  • Dashboard özelliği sunuyoruz.
  • Entegrasyon kapsamı genel olarak ikiye ayrılır.
    ** Target - Public GitHub gibi hedefler eklenerek izlenebilir.
    ** Integration - İç kullanım (Private) için GitHub, GitLab, Confluence, Jira, Notion vb. araçlarla entegre olabilir.
  1. Üye yönetimi
  • Yetkiler genel olarak Administrator, Writer ve Reader olarak ayrılır; böylece organizasyon bazında geniş kapsamlı yönetim mümkündür.
  • SAML / OIDC entegrasyonu üzerinden, kuruluşun kullandığı IDP ile bağlantı kurulabilir.
  1. Referans bağlantıları
Reklam
  1. Yol haritası - https://releases.cremit.io
  • Entegrasyon kapsamının sürekli genişletilmesi - AWS S3, GCS, Azure Storage gibi alanlarda da sürekli sızıntı vakaları ve kişisel verilerin düzensiz yönetimi yaşanıyor. Bu nedenle Cremit ekibi bunları genişleme yol haritasına ekledi.
  • Yönetim özelliklerinin sürekli genişletilmesi
  • Threat özelliğiyle bağlantılı olarak Incident yönetimi yapmaya yönelik yönetim fonksiyonları sürekli genişletilecek.
  • Secret tespit kapsamının sürekli genişletilmesi - SaaS araçları bugün bile her hafta onlarca kez güncelleniyor ve yeni entegrasyonlar ekleniyor. Bu nedenle Cremit ekibi Secret Pattern / Validation Pattern alanlarını sürekli F/U ederek güncelliyor.
  • PII verileri için kullanıcı yönetimi özelliği eklenmesi - Şu anda Cremit tarafından yönetilen PII pattern'lerine kullanıcıların doğrudan yenilerini ekleyebilmesi mümkün olacak.
  • Kullanıcının doğrudan yönettiği Authentication bilgilerine yönelik doğrulama özelliği eklenmesi
  • İç Admin sistemi, back office vb. giriş bilgileriyle bağlantı kurarak bunları Secret ile ilişkilendirebilen özellikler eklenmesi planlanıyor.
  1. Diğer ek bilgiler
  • Cremit, 2023 Mayıs'ta kurulmuş, henüz çok erken aşamadaki bir şirket. Neyse ki kuruluş yılının ağustos ayında Primer'dan ilk seed yatırımı alabildik.
  • Ekibimizle görüşmek isterseniz, web sitemiz üzerinden dilediğiniz zaman toplantı talep edebilirsiniz!
  • Şu anda ücretsiz kullanılabilen bir süre ve bir Free Plan bulunuyor. Özelliklerde bazı sınırlamalar olduğunu lütfen göz önünde bulundurun!

Servise kayıt URL'si - https://register.cremit.io

2 yorum

 
00001 2024-03-11

Bu tür tespit araçlarının çoğu genelde repository ya da kodla sınırlı kalıyordu; bunun Notion veya Jira gibi araçları da taraması güzel olmuş.

 
cremit 2024-03-11

Evet, doğru! Mevcut araçlar daha çok DevSecOps'a odaklanıyor.
Biz ise iş birliği araçları, drive'lar, depolar ve Credential'ın açığa çıkabileceği tüm konumları tespit etmeyi hedefliyoruz!
İlginiz için teşekkür ederiz!