Aikido

Previene y corrige secretos filtrados en su código base.

Aikido escanea su código en busca de claves API, credenciales y tokens expuestos antes de que se hagan públicos.

Sus datos no se compartirán · Acceso de solo lectura · No se requiere tarjeta de crédito
Con la confianza de más de 50.000 organizaciones
|
Amado por más de 100k devs
|
4.7/5

Por qué la detección de secretos es más crítica de lo que podría pensar.

Uno de los errores más comunes que cometen los desarrolladores es la filtración accidental de secretos, lo que podría permitir a los atacantes acceder o robar datos confidenciales.

Consecuencias masivas

Una única clave AWS o contraseña de base de datos filtrada puede exponer su infraestructura, datos de clientes o sistemas de producción de inmediato.

Detrás de las principales brechas

Las credenciales de desarrollador y CI/CD robadas impulsaron gusanos de auto-propagación como Red Hat npm y Mini Shai-Hulud, causando millones en daños.

Explotados en cuestión de minutos

Una vez que un secreto llega a un repositorio público, los bots automatizados lo rastrean y abusan de él casi de inmediato.

CÓMO FUNCIONA

Cómo la detección de secretos de Aikido va más allá de otros motores

Valide las filtraciones de secretos en su aplicación en vivo

Compruebe si sus secretos están activos o no en tiempo real en sus aplicaciones

Filtre los falsos positivos

Aikido está optimizado para reducir los falsos positivos en un 90%. Priorizamos las vulnerabilidades inalcanzables y le permitimos ajustar las reglas para su base de código.

Encuentra todos los secretos, no solo patrones conocidos

Gracias a la avanzada reducción de ruido de Aikido, podemos abarcar una amplia gama para encontrar todos los secretos, no solo aquellos con patrones conocidos. Otros motores no hacen esto.

Funciones avanzadas

Características del escaneo de secretos

Advertencias instantáneas dentro de su IDE

Advierte a los desarrolladores sobre secretos antes de que hagan commit del código.

Detenga los secretos antes de que se desplieguen

Integra el escaneo de secretos en su pipeline de CI/CD, detectando secretos filtrados antes de que el código se fusione o se despliegue.

Detectar secretos activos

La función Live Secret Detection de Aikido verifica si los secretos expuestos siguen activos y evalúa sus riesgos potenciales. Según el resultado, se modificará la gravedad del problema.

“Aikido convierte su seguridad en una de sus USPs gracias a su solución integrada de informes automatizados, lo que facilita la certificación ISO y SOC2”

Fabrice GDirector general en Kadonation

GEA cambió de SonarQube a Aikido
No se encontraron elementos.
Preguntas frecuentes

Preguntas frecuentes sobre la detección de secretos

¿Qué es la detección de secretos y por qué debería preocuparme por las claves API o credenciales filtradas en mi código?

La detección de secretos escanea su código en busca de claves API expuestas, contraseñas, tokens y credenciales. Los secretos filtrados pueden dar a los atacantes acceso directo a sus sistemas, lo que lleva a filtraciones de datos o a un costoso uso indebido de la nube. Incluso una sola clave de AWS en un repositorio puede ser explotada. El escaneo de secretos ayuda a detectar estos problemas antes de que se suban o fusionen, protegiendo su infraestructura del acceso no autorizado.

¿Cómo funciona el escaneo de secretos de Aikido, y qué tipos de secretos puede detectar (claves API, tokens, contraseñas)?

Aikido escanea su código y archivos de configuración en busca de patrones de secretos conocidos y cadenas de alta entropía. Detecta claves API, tokens, claves privadas, credenciales de base de datos y más. Utilizando la coincidencia de patrones, el análisis de entropía y la lógica de validación, identifica secretos reales minimizando las falsas alarmas. Marca cualquier elemento lo suficientemente sensible como para ser peligroso si se expone.

¿Aikido escanea todo mi historial de Git en busca de secretos, o solo los últimos commits de código?

Por defecto, Aikido escanea el código actual, pero también puede escanear el historial completo de Git para detectar secretos expuestos en commits antiguos. El escaneo histórico es opcional y configurable, ideal para detectar secretos que fueron añadidos y eliminados pero que siguen siendo accesibles en el historial del repositorio.

¿Cómo puedo integrar el escaneo de secretos de Aikido en mi flujo de trabajo (pipeline de CI o ganchos pre-commit) para detectar fugas a tiempo?

Puede integrar Aikido en pipelines de CI, bloqueando builds o PRs con secretos detectados. También soporta extensiones de IDE y ganchos pre-commit para una retroalimentación en tiempo real durante el desarrollo. Esto asegura que la detección de secretos ocurra automáticamente, antes de que los secretos lleguen a las ramas de producción.

¿Aikido produce muchos falsos positivos en la detección de secretos (por ejemplo, confundir IDs aleatorios con secretos)?

Aikido está optimizado para reducir los falsos positivos. Evita marcar claves públicas conocidas (por ejemplo, claves publicables de Stripe) y filtra valores de prueba o datos aleatorios. Cuando es posible, verifica la validez de los secretos antes de generar alertas, para que los resultados que obtenga sean relevantes y accionables.

¿Puedo configurar el escáner de secretos de Aikido para ignorar ciertos patrones o credenciales de prueba conocidas?

Sí. Puede añadir reglas de ignorancia, patrones o anotaciones para evitar que Aikido marque valores de prueba conocidos. También puede marcar los hallazgos como «no se corregirá» o seguros en el panel de control. Esta configuración ayuda a reducir la fatiga por alertas y le permite controlar qué se marca.

Si Aikido encuentra un secreto filtrado, ¿qué hace? ¿Me alerta, bloquea el commit o me ayuda a revocarlo?

Aikido le alerta inmediatamente y puede bloquear el commit o la compilación (si está integrado en CI). Muestra el archivo, la línea y el tipo de clave, y recomienda revocar el secreto. Aunque Aikido no revoca las claves directamente, destaca las credenciales activas y le guía sobre qué hacer a continuación.

¿Cómo se compara el escaneo de secretos de Aikido con herramientas como GitGuardian o Gitleaks?

Aikido ofrece una calidad de detección a la par de GitGuardian/Gitleaks, pero integra el escaneo de secretos en una plataforma de seguridad más amplia. Reduce el ruido con triaje contextual y unifica las alertas en código, nube, IaC y secretos. Es una herramienta para todos los riesgos, sin tener que hacer malabarismos con múltiples plataformas.

¿Aikido detecta secretos solo en el código fuente, o también en archivos de configuración y otros lugares como los YAML?

Sí, escanea todos los archivos de texto: código, YAML, JSON, archivos .env, Terraform, mensajes de commit y más. Los secretos a menudo se ocultan en configuraciones o manifiestos, y Aikido los revisa todos para detectar fugas accidentales dondequiera que aparezcan.

Si ya utilizamos el escaneo de secretos de GitHub o los hooks de pre-commit, ¿por qué necesitamos la detección de secretos de Aikido?

Aikido complementa el escaneo y los hooks de GitHub con una cobertura más amplia (soporte multiplataforma), alertas centralizadas y un contexto más profundo. No depende de la configuración de desarrollo, reduce los falsos positivos y detecta secretos en todos los repositorios, incluso si se omiten los hooks. Añade protección por capas y una mejor visibilidad.

Escanee su base de código en busca de secretos filtrados

Protege tu código, cloud y runtime en un sistema centralizado.

Encuentra y corrige vulnerabilidades de forma rápida y automática.