A exposição acidental de segredos como chaves de API, tokens ou credenciais dentro do código pode abrir um caminho para que invasores explorem seus sistemas. Esses invasores não se limitam a uma única violação; eles automatizam seus ataques, se movem rapidamente e podem comprometer toda a infraestrutura em minutos.
Para lidar com essas situações, o MongoDB desenvolveu uma solução de código aberto chamada "Kingfisher".
O que é Kingfisher: Lançado como uma ferramenta de código aberto para detectar segredos em código, sistemas de arquivos e histórico do Git, o Kingfisher surgiu da necessidade do MongoDB por uma forma rápida e confiável de identificar credenciais expostas e evitar riscos de segurança antes que eles se tornassem críticos.
A ferramenta vai além da mera detecção; ela também pode validar qualquer segredo encontrado, desde que seja de serviços suportados, permitindo que os desenvolvedores saibam quais chaves ainda estão ativas e arriscadas.
O MongoDB utiliza o Kingfisher internamente em todos os seus processos de desenvolvimento e implantação, auxiliando na detecção e correção de segredos expostos de forma antecipada.
Como funciona Kingfisher:
O Kingfisher verifica o código, os arquivos e o histórico do Git utilizando diversas técnicas, incluindo:
- Análise de entropia;
- Validação em tempo real;
- Correspondência de padrões;
- Análise de código-fonte ou detecção precisa de segredos.
Escrita em Rust, a ferramenta possui vários recursos úteis, tais como:
- Análise de fontes em vários idiomas com Tree-sitter;
- Correspondência de regex de alta velocidade com Hyperscan;
- Conjuntos de regras extensivas;
- Suporte a várias plataformas;
- Mais de 700 regras de detecção integradas abrangendo uma ampla gama de serviços em nuvem e tipos de segredos.
Todas essas funcionalidades são executadas nos próprios sistemas ou infraestrutura do usuário, garantindo que nenhum dado confidencial seja enviado para servidores de terceiros. O Kingfisher também possui suporte multiplataforma para Linux, Windows e macOS. O uso da ferramenta ajuda a equipes de segurança a se manterem alinhadas com os padrões de conformidade SLSA.
Para uma leitura mais aprofundada, o MongoDB publicou um postagem no blog detalhando como o Kingfisher foi construído.