Aikido

Previna e corrija Secrets vazados em sua base de código.

Aikido escaneia seu código em busca de chaves de API, credenciais e tokens expostos antes que sejam expostos.

Seus dados não serão compartilhados · Acesso somente leitura · Não é necessário cartão de crédito
Confiado por mais de 50 mil organizações
|
Amado por mais de 100 mil desenvolvedores
|
4.7/5

Por que a detecção de segredos é mais crítica do que você imagina.

Um dos erros mais comuns que os desenvolvedores cometem é vazar Secrets acidentalmente, o que poderia permitir que invasores acessassem ou roubassem dados confidenciais.

Consequências massivas

Uma única chave AWS ou senha de banco de dados vazada pode expor sua infraestrutura, dados de clientes ou sistemas de produção de uma só vez.

Por trás de grandes violações

Credenciais de desenvolvedor e CI/CD roubadas alimentaram worms de auto-propagação como o Red Hat npm e o Mini Shai-Hulud, causando milhões em prejuízos.

Explorados em minutos

Assim que um Secret chega a um repositório público, bots automatizados o rastreiam e abusam dele quase imediatamente.

COMO FUNCIONA

Como a detecção de segredos da Aikido vai além de outros motores

Valide vazamentos de Secrets em seu aplicativo em produção

Verifique se seus Secrets estão ativos ou não em tempo real em seus aplicativos

Filtre falsos positivos

Aikido é otimizado para reduzir falsos positivos em 90%. Fazemos a triagem de vulnerabilidades inalcançáveis e permitimos que você ajuste as regras para sua base de código.

Encontra todos os Secrets, não apenas padrões conhecidos

Devido à avançada redução de ruído da Aikido, podemos lançar uma rede ampla para encontrar todos os Secrets, não apenas aqueles com padrões conhecidos. Outras ferramentas não fazem isso.

Recursos Avançados

Recursos de varredura de segredos

Alertas instantâneos dentro da sua IDE

Alerta os desenvolvedores sobre Secrets antes de fazerem o commit do código.

Impeça que Secrets sejam enviados

Integra a varredura de segredos ao seu pipeline de CI/CD, capturando Secrets vazados antes que o código seja mesclado ou implantado.

Detecte Secrets ativos

O recurso Live Secret Detection da Aikido verifica se os Secrets expostos ainda estão ativos e avalia seus riscos potenciais. Com base no resultado, a gravidade do problema será alterada.

“O Aikido torna sua segurança um de seus USPs graças à sua solução integrada de relatórios automatizados, que auxilia na certificação ISO e SOC2”

Fabrice GDiretor Administrativo na Kadonation

A GEA mudou de SonarQube para Aikido
Nenhum item encontrado.
FAQ

Perguntas Frequentes sobre detecção de segredos

O que é detecção de Secrets e por que devo me preocupar com API keys ou credenciais vazadas no meu código?

A detecção de Secrets verifica seu código em busca de chaves de API expostas, senhas, tokens e credenciais. Secrets vazados podem dar aos atacantes acesso direto aos seus sistemas, levando a violações de dados ou uso indevido custoso da Cloud. Mesmo uma única chave AWS em um repositório pode ser explorada. A varredura de Secrets ajuda a identificar esses problemas antes que sejam enviados ou mesclados, protegendo sua infraestrutura contra acesso não autorizado.

Como funciona a varredura de Secrets do Aikido e que tipos de Secrets ela pode detectar (chaves de API, tokens, senhas)?

O Aikido escaneia seu código e arquivos de configuração em busca de padrões de Secrets conhecidos e strings de alta entropia. Ele detecta chaves de API, tokens, chaves privadas, credenciais de banco de dados e muito mais. Usando correspondência de padrões, análise de entropia e lógica de validação, ele identifica Secrets reais, minimizando falsos alarmes. Ele sinaliza qualquer coisa sensível o suficiente para ser perigosa se exposta.

O Aikido escaneia todo o meu histórico do Git em busca de Secrets, ou apenas os últimos commits de código?

Por padrão, o Aikido escaneia o código atual, mas também pode escanear o histórico completo do Git para capturar Secrets expostos em commits antigos. O escaneamento histórico é opcional e configurável – ideal para detectar Secrets que foram adicionados e removidos, mas ainda acessíveis no histórico do repositório.

Como posso integrar o escaneamento de Secrets do Aikido ao meu fluxo de trabalho (pipeline de CI ou hooks de pré-commit) para detectar vazamentos precocemente?

Você pode integrar o Aikido em pipelines de CI, bloqueando builds ou PRs com Secrets detectados. Ele também oferece suporte a extensões de IDE e hooks de pré-commit para feedback em tempo real durante o desenvolvimento. Isso garante que a detecção de Secrets ocorra automaticamente – antes que os Secrets cheguem aos branches de produção.

O Aikido produz muitos falsos positivos na detecção de Secrets (por exemplo, confundir IDs aleatórios com Secrets)?

O Aikido é otimizado para reduzir falsos positivos. Ele evita sinalizar chaves públicas conhecidas (por exemplo, chaves publicáveis do Stripe) e filtra valores de teste ou dados aleatórios. Quando possível, ele verifica a validade dos Secrets antes de gerar alertas, para que os resultados obtidos sejam relevantes e acionáveis.

Posso configurar o scanner de Secrets do Aikido para ignorar certos padrões ou credenciais de teste conhecidas?

Sim. Você pode adicionar regras de ignorar, padrões ou anotações para evitar que o Aikido sinalize valores de teste conhecidos. Você também pode marcar as descobertas como "não será corrigido" ou seguras no dashboard. Esse ajuste ajuda a reduzir a fadiga de alertas e permite controlar o que é sinalizado.

Se o Aikido encontrar um Secret vazado, o que ele faz – me alerta, bloqueia o commit, me ajuda a revogá-lo?

O Aikido alerta você imediatamente e pode bloquear o commit ou build (se integrado à CI). Ele mostra o arquivo, a linha e o tipo de chave, e recomenda a revogação do Secret. Embora o Aikido não revogue chaves diretamente, ele destaca credenciais ativas e o orienta sobre o que fazer a seguir.

Como a varredura de segredos do Aikido se compara a ferramentas como GitGuardian ou Gitleaks?

Aikido oferece qualidade de detecção comparável a GitGuardian/Gitleaks, mas integra a varredura de Secrets em uma plataforma de segurança mais ampla. Reduz o ruído com triagem contextual e unifica alertas em código, Cloud, IaC e Secrets. É uma ferramenta para todos os riscos – sem a necessidade de gerenciar múltiplas plataformas.

O Aikido detecta Secrets apenas no código-fonte, ou também em arquivos de configuração e outros locais como YAMLs?

Sim, ele escaneia todos os arquivos de texto – código, YAML, JSON, arquivos .env, Terraform, mensagens de commit e muito mais. Secrets frequentemente se escondem em configurações ou manifestos, e o Aikido verifica todos eles para capturar vazamentos acidentais onde quer que apareçam.

Se já usamos o escaneamento de Secrets do GitHub ou hooks de pré-commit, por que precisamos da detecção de Secrets do Aikido?

O Aikido complementa o escaneamento e os hooks do GitHub com cobertura mais ampla (suporte multiplataforma), alertas centralizados e contexto mais profundo. Ele não depende da configuração de desenvolvimento, reduz falsos positivos e captura Secrets em todos os repositórios – mesmo que os hooks sejam ignorados. Ele adiciona proteção em camadas e melhor visibilidade.

Escaneie sua base de código em busca de Secrets vazados

Proteja seu código, Cloud e runtime em um sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente e de forma automática.