Bitwarden, le fabricant du populaire outil de gestion de mots de passe open source, a publié « Secrets Manager », un gestionnaire de secrets cryptés de bout en bout destiné aux professionnels de l’informatique, aux équipes de développement de logiciels et à l’industrie DevOps.
L’outil vise à constituer une alternative sécurisée au codage en dur des secrets ou au partage de fichiers « .env » par courrier électronique, offrant aux utilisateurs flexibilité, évolutivité et protégeant leurs secrets en cas de violation de données.
Ces secrets incluent généralement des clés API, des certificats d’authentification utilisateur, des mots de passe de base de données, des certificats SSL et TLS, des clés de chiffrement privées, des clés SSH, etc.
Ces secrets sont exposés par inadvertance en ligne à la suite de cyberattaques ou divulgués publiquement en raison de mauvaises pratiques de sécurité au cours du cycle de développement.
L’année dernière, Symantec a signalé que plus de 1 800 applications pour la plate-forme iOS contenaient des informations d’identification AWS codées en dur, exposant leurs développeurs et utilisateurs à différents niveaux de risque.
Le problème est si répandu que GitHub a lancé un système qui alerterait les propriétaires de référentiels des erreurs de configuration conduisant à la divulgation de secrets, et des chercheurs en sécurité indépendants ont écrit des outils open source dédiés à l’analyse des secrets dans les compartiments de stockage AWS S3 exposés publiquement.
Bitwarden Secrets Manager est sur le point de résoudre ce problème en offrant aux utilisateurs un moyen simple et sécurisé de les récupérer, de les partager et de les déployer au sein des équipes de développement tout en prenant également en charge les autorisations d’accès granulaires pour les individus ou les groupes.
Secrets Manager suit la même approche open source que le gestionnaire de mots de passe, de sorte que sa base de code, sa CLI, son SDK et son code d’intégration sont soumis à un examen minutieux et permettent également la flexibilité des implémentations personnalisées.
L’outil est proposé en trois niveaux, en fonction des besoins des équipes de développement, mais il existe une version gratuite prenant en charge un nombre illimité de secrets, deux utilisateurs, trois projets et trois comptes de service.
Les niveaux « Équipes » et « Entreprise » qui coûtent respectivement 6 $ et 12 $ par mois, augmentent ces limites et offrent des fonctionnalités commerciales supplémentaires telles que la prise en charge de l’authentification FIDO2, le provisionnement automatisé, l’intégration SSO et des capacités administratives plus avancées.
Pour l’instant, Bitwarden Secrets Manager prend en charge l’intégration avec GitHub Actions, mais la prise en charge des intégrations Kubernetes, Terraform et Ansible devrait arriver dans les versions futures.
En outre, davantage de langues doivent être ajoutées au SDK de l’outil et la gestion des accès sera améliorée avec des options supplémentaires pour l’attribution de secrets individuels à des comptes spécifiques.