3 poin oleh cremit 2024-03-09 | 2 komentar | Bagikan ke WhatsApp

Halo, teman-teman GeekNews!

Ada tulisan yang sangat menyenangkan bagi kami karena masalah yang sedang kami selesaikan ternyata muncul di GeekNews, yang dibaca baik oleh seluruh tim kami.
https://id.news.hada.io/topic?id=13442
Di komentar thread ada yang meminta kami memperkenalkannya, jadi kami ingin memperkenalkan produk yang telah kami buat dengan sungguh-sungguh.

  1. Pengenalan proyek
  • Kami menyediakan layanan deteksi untuk Secret API Key yang digunakan untuk terhubung dengan berbagai layanan SaaS.
  • Ada banyak alat seperti TruffleHog dan GitLeaks, tetapi karena cenderung berfokus pada alat DevSecOps, ada kekurangan berupa tingginya biaya engineering jika digunakan dari sudut pandang tim keamanan atau tim pengelola infrastruktur yang sebenarnya; kami sedang memperbaiki hal tersebut.
  • Tidak hanya GitHub dan GitLab, saat ini cakupan integrasi juga dapat diperluas hingga Confluence, Jira, dan Notion.
  • Kami membantu membangun keamanan yang berpusat pada Credential (Secret, PII), dan melalui fitur manajemen ancaman, organisasi dapat memahami ancaman keamanan Credential mereka.
  • Kami menyediakan fitur yang dapat terhubung dengan berbagai IDP seperti integrasi SAML / OIDC.
  1. Pengenalan fitur
  • Kami menyediakan fitur deteksi Secret. Dengan mengetahui hingga informasi status Secret key, seperti status Active / Inactive, Anda dapat terhindar dari False-Positive.
  • Kami menyediakan fitur deteksi PII. Karena mencakup NLP, dibandingkan Regex sederhana, fitur ini dapat memahami konteks sehingga dapat mendeteksi paparan data pribadi dengan lebih akurat.
  • Kami menyediakan fitur Threat Policy. Misalnya, kondisi AWS Active Key yang aktif dapat didefinisikan sebagai ancaman High, sehingga prioritas dapat ditentukan.
  • Kami menyediakan fitur Dashboard.
  • Cakupan integrasi secara garis besar terbagi menjadi dua.
    **Target - Anda dapat menambahkan public GitHub dan sebagainya untuk dipantau.
    **Integration - Untuk penggunaan internal (Private), Anda dapat mengintegrasikan Github, GitLab, Conflucne, Jira, Notion, dan lain-lain.
  1. Manajemen anggota
  • Hak akses secara umum dibagi menjadi Administrator, Writer, dan Reader, sehingga memungkinkan pengelolaan organisasi dalam cakupan besar untuk tiap organisasi.
  • Integrasi dengan IDP yang digunakan organisasi dimungkinkan melalui SAML / OIDC.
  1. Tautan referensi
  1. Roadmap - https://releases.cremit.io
  • Perluasan cakupan integrasi secara berkelanjutan - Kebocoran dan pengelolaan data pribadi yang serampangan juga terus terjadi di AWS S3, GCS, Azure Storage, dan lainnya. Karena itu, tim Cremit telah menambahkannya ke roadmap perluasan cakupan.
  • Perluasan berkelanjutan pada fitur manajemen
  • Fitur manajemen yang memungkinkan pengelolaan Incident dengan terhubung ke fitur Threat akan terus diperluas.
  • Perluasan berkelanjutan pada cakupan deteksi Secret - Alat SaaS bahkan saat ini terus diperbarui dan diintegrasikan, puluhan setiap minggu. Karena itu, tim Cremit terus melakukan F/U dan pembaruan pada Secret Pattern / Validation Pattern.
  • Penambahan fitur manajemen pengguna untuk data PII - Saat ini pengguna dapat langsung menambahkan pola PII yang dikelola secara managed oleh Cremit.
  • Penambahan fitur verifikasi untuk informasi Authentication yang ditangani langsung oleh pengguna
  • Kami berencana menambahkan fitur yang dapat menghubungkan Secret dengan informasi login seperti sistem Admin internal dan back office.
  1. Informasi tambahan lainnya
  • Cremit adalah perusahaan yang masih sangat awal, didirikan pada Mei 2023, dan untungnya pada Agustus di tahun pendirian kami bisa menerima investasi seed awal dari Primer.
  • Jika Anda ingin bertemu dengan tim kami, silakan ajukan pertemuan kapan saja melalui situs web kami!
  • Saat ini tersedia masa penggunaan gratis dan Free Plan. Harap diperhatikan bahwa ada beberapa pembatasan fitur.

URL pendaftaran layanan - https://register.cremit.io

2 komentar

 
00001 2024-03-11

Sebagian besar alat pendeteksi seperti ini biasanya terbatas pada repositori atau kode, tetapi yang ini bagus karena juga bisa mendeteksi hingga alat seperti Notion atau Jira.

 
cremit 2024-03-11

Ya, betul! Alat-alat yang sudah ada saat ini memang berfokus pada DevSecOps.
Tujuan kami adalah mendeteksi semua lokasi tempat Credential bisa terekspos, seperti alat kolaborasi, drive, dan repositori!
Terima kasih atas minatnya!