人気のオープンソース パスワード マネージャー ツールのメーカーである Bitwarden は、IT プロフェッショナル、ソフトウェア開発チーム、DevOps 業界向けのエンドツーエンドの暗号化シークレット マネージャーである「Secrets Manager」をリリースしました。
このツールは、シークレットのハードコーディングや電子メールでの「.env」ファイルの共有に代わる安全な代替手段として機能することを目的としており、ユーザーに柔軟性と拡張性を提供し、データ侵害の場合にシークレットを安全に保ちます。
これらのシークレットには通常、API キー、ユーザー認証証明書、データベース パスワード、SSL および TLS 証明書、秘密暗号化キー、SSH キーなどが含まれます。
これらの機密は、サイバー攻撃後に不注意でオンラインに公開されたり、開発ライフサイクルにおける不適切なセキュリティ慣行により公に漏洩したりすることがあります。
昨年、 シマンテックは、iOS プラットフォーム用の 1,800 以上のアプリにハードコーディングされた AWS 認証情報が含まれており、開発者とユーザーがさまざまなリスクレベルにさらされていると報告しました。
この問題は非常に広範囲に広がっているため、 GitHub はシークレットの漏洩につながる設定ミスをリポジトリ所有者に警告するシステムを立ち上げ、 独立したセキュリティ研究者が、公開されている AWS S3 ストレージ バケット内のシークレットをスキャンする専用のオープンソース ツールを作成しました。
Bitwarden Secrets Manager は、個人またはグループに対するきめ細かなアクセス許可をサポートしながら、開発チーム間で情報を取得、共有、展開するための簡単かつ安全な方法をユーザーに提供することで、この問題を解決する態勢を整えています。
Secrets Manager は、パスワード マネージャーと同じオープンソース アプローチに従っているため、そのコードベース、CLI、SDK、および統合コードは精査の対象となり、カスタム実装の柔軟性も可能になります。
このツールは開発チームのニーズに応じて 3 段階で提供されますが、無制限のシークレット、2 人のユーザー、3 つのプロジェクト、および 3 つのサービス アカウントをサポートする 無料バージョンもあります。
月額料金がそれぞれ 6 ドルと 12 ドルの「Teams」層と「Enterprise」層では、これらの制限が引き上げられ、FIDO2 認証のサポート、自動プロビジョニング、SSO 統合、より高度な管理機能などの追加のビジネス機能が提供されます。
現時点では、Bitwarden Secrets Manager は GitHub Actions との統合をサポートしていますが、Kubernetes、Terraform、および Ansible の統合のサポートは将来のバージョンで導入される予定です。
また、ツールの SDK にはさらに多くの言語が追加される予定で、特定のアカウントへの個別のシークレット割り当ての追加オプションによりアクセス管理が強化されます。
Comments