Aikido
Deteção de Secrets

Apanhar Secrets divulgados antes dos hackers

O Aikido examina o seu código em busca de chaves de API, credenciais e tokens expostos - antes que eles cheguem à produção.

  • Revela os secrets mais críticos
  • Integração CI/CD sem manutenção
  • Ignora secrets seguros ou inactivos
Com a confiança de mais de 25 mil organizações | Veja os resultados em 30 segundos.
Painel de instrumentos com separador de autofixações

"Com o Aikido, podemos resolver um problema em apenas 30 segundos - clicar num botão, fundir o PR e está feito."

"A funcionalidade de correção automática do Aikido é uma enorme poupança de tempo para as nossas equipas. Corta o ruído, para que os nossos programadores se possam concentrar no que realmente importa."

"Com o Aikido, a segurança é apenas parte da forma como trabalhamos agora. É rápido, integrado e realmente útil para os programadores."

Escolhido por mais de 25.000 organizações em todo o mundo

Importância da deteção de Secrets

Porque é que a digitalização de Secrets é importante

Um dos erros mais comuns que os programadores cometem é a fuga acidental de secrets. Estes incluem credenciais sensíveis como chaves de API, palavras-passe, chaves de encriptação, chaves privadas e muito mais - qualquer uma delas pode permitir que os atacantes acedam ou roubem dados confidenciais.

Vanta

Não o incomoda com secrets que se sabe serem seguros

Reconhece secrets que são conhecidos por serem seguros e faz a sua triagem automática (por exemplo, chaves publicáveis do Stripe, chaves da API do Google Maps utilizadas no front-end) para que não accionem alertas.

Vanta

Filtra Secrets irrelevantes

O Aikido irá ignorar secrets que tenham sido verificados como expirados ou revogados, ou que pareçam ser variáveis. O Aikido verifica com segurança a validade dos tipos de segredos conhecidos enviando um pedido a um ponto final da API que requer autorização e que não produz dados sensíveis.

Funcionalidades avançadas

Caraterísticas da digitalização de Secrets

Detenha Secrets antes de os enviar

Integra a verificação de secrets no seu pipeline de CI/CD, capturando secrets vazados antes que o código seja mesclado ou implantado.

Avisos instantâneos no seu IDE

Avisa os programadores sobre os secrets antes de submeterem o código.

Detetar Secrets activos

A funcionalidade de Deteção de Segredos em Direto do Aikido verifica se secrets expostos ainda estão activos e avalia os seus potenciais riscos. Com base no resultado, a gravidade do problema será alterada.

Cobertura total numa única plataforma

Substitua o seu conjunto de ferramentas disperso por uma plataforma que faz tudo - e mostra-lhe o que interessa.

Código

Dependências

Encontre pacotes open-source vulneráveis nas suas dependências, incluindo os transitivos.

Saiba mais
Cloud

Cloud CSPM)

Detecta riscos de infraestrutura de nuvem (configurações incorrectas, VMs, imagens Container ) nos principais fornecedores de nuvem.

Saiba mais
Código

Secrets

Verifica se o seu código contém chaves de API, palavras-passe, certificados, chaves de encriptação, etc., que tenham sido divulgadas e expostas.

Saiba mais
Código

Análise de código estático (SAST)

Analisa o código-fonte em busca de riscos de segurança antes que um problema possa ser mesclado.

Saiba mais
Código

Infrastructure as Code Scanning (IaC)

Analisa a infraestrutura como código do Terraform, CloudFormation e Kubernetes para detetar configurações incorrectas.

Saiba mais
Teste

Ensaios dinâmicos (DAST)

Testa dinamicamente o front-end e as APIs da sua aplicação Web para encontrar vulnerabilidades através de ataques simulados.

Saiba mais
Código

Risco de licença e SBOMs

Monitoriza as suas licenças quanto a riscos, tais como licenciamento duplo, termos restritivos, má reputação, etc... E gera SBOMs.

Saiba mais
Código

Software desatualizado (EOL)

Verifica se as estruturas e os tempos de execução que está a utilizar já não são mantidos.

Saiba mais
Cloud

Imagens Container

Analisa as imagens do seu container em busca de pacotes com problemas de segurança.

Saiba mais
Código

Malware

Evite que pacotes maliciosos se infiltrem na sua cadeia de fornecimento de software. Desenvolvido por Aikido Intel.

Saiba mais
Teste

Verificação da API

Mapeie e analise automaticamente a sua API em busca de vulnerabilidades.

Saiba mais
Cloud

Máquinas virtuais

Examina suas máquinas virtuais em busca de pacotes vulneráveis, tempos de execução desatualizados e licenças de risco.

Saiba mais
Defender

Proteção em tempo de execução

Uma firewall in-app para maior tranquilidade. Bloqueie automaticamente ataques de injeção críticos, introduza a limitação da taxa de API e muito mais

Saiba mais
Código

Integrações IDE

Corrija os problemas enquanto codifica - não depois. Obtenha aconselhamento em linha para corrigir vulnerabilidades antes de fazer o commit.

Saiba mais
Código

Scanner no local

Execute os scanners do Aikido no seu ambiente.

Saiba mais
Código

Segurança CI/CD

Automatize a segurança para cada compilação e implantação.

Saiba mais
Cloud

AI Autofix

Correcções com um clique para SAST, IaC, SCA e contentores.

Saiba mais
Cloud

Pesquisa de activos Cloud

Pesquise todo o seu ambiente de nuvem com consultas simples para encontrar instantaneamente riscos, configurações incorretas e exposições.

Saiba mais

Revisão

"O Aikido faz da sua segurança um dos seus pontos fortes graças à sua solução integrada de relatórios automatizados, que ajuda na certificação ISO e SOC2"

Fabrice G

Diretor-geral da Kadonation

O que é a deteção de segredos e porque é que me devo preocupar com a fuga de chaves ou credenciais da API no meu código?

A deteção de segredos analisa o seu código em busca de chaves de API, palavras-passe, tokens e credenciais expostas. secrets vazados podem dar aos invasores acesso direto aos seus sistemas, levando a violações de dados ou uso indevido de nuvem dispendioso. Até mesmo uma única chave AWS em um repositório pode ser explorada. A verificação de segredos ajuda a detetar esses problemas antes que eles sejam enviados ou mesclados, protegendo sua infraestrutura contra acesso não autorizado.

Como funciona a verificação de secrets do Aikido e que tipos de secrets pode detetar (chaves API, tokens, palavras-passe)?

O Aikido analisa o seu código e ficheiros de configuração em busca de padrões secretos conhecidos e cadeias de caracteres de elevada entropia. Ele detecta chaves de API, tokens, chaves privadas, credenciais de banco de dados e muito mais. Utilizando a correspondência de padrões, a análise de entropia e a lógica de validação, identifica secrets reais e minimiza os falsos alarmes. Sinaliza tudo o que é suficientemente sensível para ser perigoso se exposto.

O Aikido procura secrets em todo o meu histórico git ou apenas nos últimos commits de código?

Por defeito, o Aikido analisa o código atual, mas também pode analisar o histórico completo do Git para detetar secrets expostos em commits antigos. A verificação do histórico é opcional e configurável - ideal para detetar secrets que foram adicionados e removidos, mas ainda acessíveis no histórico do repositório.

Como é que posso integrar a análise secreta do Aikido no meu fluxo de trabalho (pipeline de CI ou ganchos de pré-compilação) para detetar fugas antecipadamente?

É possível integrar o Aikido em pipelines de CI, bloqueando compilações ou PRs com secrets detectados. Ele também suporta extensões IDE e ganchos de pré-compromisso para feedback em tempo real durante o desenvolvimento. Isso garante que a deteção de segredos ocorra automaticamente - antes que secrets atinjam as ramificações de produção.

O Aikido produz muitos falsos positivos na deteção de segredos (por exemplo, confundindo IDs aleatórios com secrets)?

O Aikido é optimizado para reduzir os falsos positivos. Ele evita sinalizar chaves públicas conhecidas (por exemplo, chaves publicáveis do Stripe) e filtra valores de teste ou dados aleatórios. Quando possível, verifica a validade secrets antes de emitir alertas, para que os resultados obtidos sejam relevantes e acionáveis.

Posso configurar o scanner secreto do Aikido para ignorar determinados padrões ou credenciais de teste conhecidas?

Sim. Pode adicionar regras, padrões ou anotações de ignorar para evitar que o Aikido assinale valores de teste conhecidos. Também pode marcar os resultados como "não serão corrigidos" ou seguros no painel de controlo. Esta afinação ajuda a reduzir o cansaço dos alertas e permite-lhe controlar o que é sinalizado.

Se o Aikido descobrir uma fuga de informação secreta, o que é que faz - alerta-me, bloqueia a autorização, ajuda-me a revogá-la?

O Aikido alerta-o imediatamente e pode bloquear o commit ou a compilação (se integrado no CI). Ele mostra o arquivo, a linha e o tipo de chave, e recomenda a revogação do segredo. Embora o Aikido não revogue as chaves diretamente, destaca as credenciais activas e orienta-o sobre o que fazer a seguir.

Como é que a análise secreta do Aikido se compara a ferramentas como o GitGuardian ou o Gitleaks?

O Aikido oferece uma qualidade de deteção equivalente à do GitGuardian/Gitleaks, mas integra a verificação de segredos numa plataforma de segurança mais ampla. Ele reduz o ruído com triagem contextual e unifica alertas em código, nuvem, IaC e secrets. É uma ferramenta para todos os riscos - sem malabarismos com várias plataformas.

O Aikido detecta secrets apenas no código fonte ou também em ficheiros de configuração e outros locais como YAMLs?

Sim, ele verifica todos os arquivos de texto - código, YAML, JSON, arquivos .env, Terraform, mensagens de commit e muito mais. Secrets muitas vezes se escondem em configurações ou manifestos, e o Aikido verifica todos eles para pegar vazamentos acidentais onde quer que eles apareçam.

Se já usamos a verificação de segredos do GitHub ou os ganchos de pré-compromisso, porque precisamos da deteção de segredos do Aikido?

O Aikido complementa o GitHub scanning e os hooks com uma cobertura mais ampla (suporte multiplataforma), alertas centralizados e contexto mais profundo. Ele não depende da configuração do desenvolvedor, reduz falsos positivos e captura secrets em todos os repositórios - mesmo que os ganchos sejam ignorados. Ele adiciona proteção em camadas e melhor visibilidade.

Obter segurança gratuitamente

Proteja seu código, nuvem e tempo de execução em um sistema central.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Não é necessário cartão de crédito |Avaliação dos resultados em 32 segundos.