防止你的云“秘密”被公开：一个IDE插件解决方案

我相信你会同意，在当今的数字世界中，我们工作的大多数应用程序都需要某种类型的证书–；使用用户名/密码连接到数据库，通过授权令牌或API密钥访问计算机程序，调用服务进行身份验证。

凭据，或者有时简称为“机密”，是用户或系统级机密信息的一部分，应该受到仔细保护，只有合法用户才能访问。我们都知道保护这些资产以防止账户滥用和违规是多么重要。

现实检查：你多久会主动保护这些资产一次？我觉得很少。

在应用程序安全方面，开发人员可能犯的最严重错误之一是在互联网上意外地公开提交机密信息。令人惊讶的是，机密和凭据意外泄露的频率比您预期的要高，而且有一些智能工具可以扫描公共存储库以搜索已提交的机密。

SonarLint是SonarSource的一个免费开源IDE扩展，其使命是使开发人员能够控制自己的代码完整性，最近，该公司宣布了其软件的一项新功能，旨在帮助开发人员在AWS用户或系统级身份验证凭据提交到存储库并从用户的本地源代码或文件中泄漏之前，识别并防止其泄漏。

你觉得这个有趣吗？继续阅读，了解更多信息。

第一–；你为什么要在乎

让我们花一点时间回顾一下，看看为什么这种新的SONARLLT特性对于任何开发人员来说都是如此重要和有用。

在你生活中的某个地方，你可能使用信用卡进行网上购物，并立即接到信用卡公司的电话，询问你是否打算继续购买。如果你做到了，没问题，一切都好。如果没有，欺诈活动就是在交易完成前被抓获的–；为您和您的信用卡公司节省了事后泄露账户的复杂性。

这同样适用于代码开发。

作为代码开发和交付过程的一部分，可能会经常连接到基于云的数据库，或者您可能需要凭据才能访问第三方公司的API。

在这个过程中，您可能会临时硬编码凭据以便于使用，或者同事可能添加了机密信息以进行快速本地测试，然后意外地将这些文件提交到公共存储库。和这些暂时的变化现在是永久性的。。。。哎呀！即使在事后删除了密码，仍有可能有人在清理之前复制了你的秘密。

接下来你会知道，有人泄露了账户，或者更糟糕的是，这一小小的安全漏洞为某个人提供了一个小型中转站，用于更大的基础设施漏洞。

这种类型的违规行为比你可能意识到的更常见，也可能是灾难性的。在过去的一年里，有许多新闻文章强调了恶意用户窃取嵌入GitHub和BitBucket等公共源代码存储库中的API密钥的事件。StackOverflow、Uber和最近的Shopify都是备受关注的安全事件的例子，在这些事件中，散布在公开可见文件中的秘密造成了严重破坏。想象一下它可能对品牌声誉造成的损害。

人为错误将继续发生，但通过在正确的时间执行正确的检查，可以从一开始就防止错误的发生。上一个案例说明了在相关介绍点（例如，在编程期间或提交代码之前）检测到的“机密”泄露如何可以避免大量麻烦。

在开发工作流程中检测和解决这些问题的最佳位置是在开发工作流程的一开始，也就是在IDE集成开发环境中。很多大公司都以艰难的方式吸取了这一教训。

在IDE中检测AWS机密的高级规则

随着最近增加了检测云秘密的新规则，Sonarint保护AWS认证凭据和亚马逊市场Web服务（MWS）凭据不被公开泄露。查看保护MWS身份验证令牌、AWS访问密钥、密钥ID和会话令牌的规则。

Sonarint作为你的第一道防线，保护你的证件不被公开泄露。通过在引入点标记问题（即，将问题检测进一步向左移动），您可以立即采取行动，首先防止泄漏。

这一点很重要，因为泄露的账户不仅会对个人或资源层面产生影响，比如账户被黑客攻击的可能性，还会对客户的保密性产生不利影响。例如，受损的MWS代币可用于非法访问包含客户信息（如信用卡号、电子邮件、发货地址和商户销售记录）的数据库。

在IDE中安装SonarLint后，这些“秘密”检测规则将使您能够在提交到repo之前，在第一个输入点即源代码或语言不可知文件（例如xml、yaml、json）中捕获此类凭据的存在。

除了识别此类问题，Sonarint还能够为解决这些问题提供明确的指导。然后，您就可以完全灵活地采取行动并处理标记的代码；让您离交付安全代码又近了一步。

从IDE开始

目前，VS Code、IntelliJ IDEA、PyCharm、CLion、WebStorm、PHPStorm和Rider等流行IDE都支持此功能，随后还有Visual Studio、Eclipse等。

要开始保护代码库，您可以下载Sonarint for VS code或Sonarint for JetBrains IDE。或者，如果您已经在IDE中使用SonarLint，只需将插件更新到最新版本即可启用此功能。

作为下一步，该公司还计划将“机密”检测功能扩展到其他公共云提供商。未来，Sonarint将支持更多的云提供商、SaaS产品和数据库提供商。

使用其他源代码解决方案的开发人员–；SonarQube或SonarCloud提供高质量和安全的代码，可以将其代码安全体验扩展到IDE。通过免费安装声纳棉，他们不仅可以立即受益于强大的功能，如秘密检测，还可以通过共享规则和分析设置（从SonarQube或SonarCloud到SonarLint）来提高代码库的整体代码质量和安全性，从而将整个开发团队凝聚在一个单一的代码健康定义上。