軟體工程師一堆密碼記不住！Google看中的新創Infisical，怎麼解決痛點？

管理Facebook、Instagram、Google、YouTube、Discord等不同平台的帳號密碼非常麻煩，對軟體開發團隊也存在「密碼問題」，每開啟一個專案，就需要一組對應的加密與解密的專屬金鑰（key）作為編輯權限，通常軟體開發團隊會將這些金鑰統一儲存管理。

不過這存在一定的資安風險。當團隊成員內部進行金鑰傳送時，可能因人為疏失造成資料外洩，又或者更新程式碼版本時不幸遺失所使用的金鑰，甚至在發布程式碼到Github時，不小心上傳到含有金鑰的檔案，都有可能會造成重大的資安危機。

曾入選知名新創加速器Y Combinator的新創Infisical，以中心化的集中管理平台協助企業管理不同的金鑰，並以端到端加密（E2EE，End-to-end Encryption）資料保存的方式，降低資訊在傳遞的途中被外洩的可能。自2022年創立以來，每個月已經協助企業及政府保存超過1億筆機密資料，更在今年獲得Google旗下創投基金Gradient Ventures的200萬美元（約新台幣6,000萬元）種子輪基金。

美國新創Infisical於2022年創立，曾入選加入Y Combinator孵化計畫。

圖／ Infisical 官網

資訊安全新創Infisical，獲Google旗下創投Gradient Ventures注資

Infisical創辦人Vlad Matsiiako、Maidul Islam及Tuan Dang在康乃爾大學主修電腦及數據科學，寫程式時加密與解密的不便正是他們創業的主因。

資安新創Infisical創辦人Vlad Matsiiako（左）、Maidul Islam（中）及Tuan Dang（右）。

圖／ Vlad Matsiiako、Maidul Islam及Tuan Dang Lin的LinkedIn

金鑰的應用就像每月收到的電子對帳單，在收到經銀行加密的檔案後，收件者必須要輸入身份證字號，才能解開檔案並開啟閱讀。即使步驟繁瑣，但為了保障個人資料安全，此加密、解密的過程是不可或缺的一環。

對軟體工程師而言，軟體開發金鑰依循著同樣的道理。使用不同軟體時，他們總會創造出兩把一組的金鑰，一把提供給軟體主要開發者自行保管及資料加密使用，另一把則提供給團隊成員，以便在接收到開發者已加密的資料時進行解密。

對每個專案皆會使用到不同金鑰的軟體工程師而言，為簡化整理複雜資訊及多把金鑰管理的步驟，會選擇將金鑰存入該專案的環境變數（.env檔），將不同軟體的金鑰儲存統一管理，並保存於自己的電腦中，以便後續在進行軟體改版或修正時，可快速找到對應使用的金鑰。

但當專案因程式碼變動而產生不同版本的檔案，存有多項金鑰的.env檔便容易因版本過多而搞混，出於方便有許多工程師便存著僥倖心態，將存有重要金鑰的檔案共同存放在單一檔案中，若後續在進行程式碼上傳時未有注意，便有可能因此而不小心上傳至公開網站中。

為解決這項問題，公司不僅要求他們尋找能與現行軟體相容，並兼具安全、方便使用特性的資料管理系統。同時也出於資安考量，要求他們在傳送重要資訊時，將機密資訊分段並透過如電子郵件、通訊軟體等不同管道傳送給對方，這樣的方式儘管有效，卻也造成作業上的麻煩。

企業總需花費許多時間及精力尋找適合的系統，創辦人之一的Vlad Matsiiako表示，因為清楚知道大型團隊進行資料保護的困難，在與產業同儕討論過後，他們便決定以資訊安全為核心進行創業，打造多功能的資料管理系統。

打破「使用者體驗」及「資安」只能擇一的困境，Infisical試圖在兩者間取得平衡

普遍在進行資料維護的過程中，企業總要在操作介面及資安維護間做出取捨。也就是說，如果選擇的是足夠安全的資料保護系統，必然要面對極為複雜的系統介面；另一方面如果選擇的是簡易上手的系統介面，系統背後則有機會藏有資料安全漏洞。

Infisical卻打破了這兩極化的現象，他們設計了Low-Code的使用體驗，只要輸入一句指令，便可以儲存包含API金鑰、資料庫存取權限（Database Access Tokens）等重要資訊，並提供金鑰權限控管功能，公司可明確地控制哪些帳號有權限讀取開發中的軟體，或者進行軟體改寫操作。

團隊也在系統中內建稽核機制，協助企業記錄每項軟體開發步驟的建立及修改狀況，並提供不同版本專案的金鑰管理，讓企業可以隨時回溯至之前的專案版本，以便在軟體測試時出現錯誤時找回原始資料。同時系統也提供程式碼檢查機制，當工程師將程式碼上傳至Github前，預先檢查程式碼中是否包含機密資訊，若偵測到含有機密文件便會阻止使用者上傳該段程式碼，以便防止機密資訊外洩。

Infisical主打透過簡易的使用者介面及指令，為企業重要的資訊進行加密。

圖／ Infisical 官網

開放大部分Infisical系統原始碼，促進資訊安全生態圈共好循環

不同於一般資料儲存系統提供固定的使用者介面，Infisical選擇公開大部分系統的原始碼，並將指令碼上傳至Github提供給企業參考。

Infisical於Github開放系統原始碼，提供企業根據自身團隊工作習慣進行修正。

圖／ Infisical官方Github平台

Vlad Matsiiako表示，對於個人系統開發者及業餘軟體設計師，目前Infisical在Github上所提供的指令碼已足夠讓他們探索，有能力的工程師也可以依據企業特性進行些微修正。而為了公司營運，Infisical仍保有一部分核心的系統原始碼，提供給購買企業版軟體的公司，以便提供更高階的資料安全維護服務。

日前Infisical系統的導入沒有收費，且系統研發者可透過開放原始碼進行修正。若想取得核心的系統原始碼，則針對企業團隊規模分別以每月8美元（約新台幣250元）及18美元（約新台幣570元）的方式收費，而針對希望擁有客製化系統的企業，Infisical也提供客製化方案，不僅提供全日的即時協助管道，也開放軟體創立至今的所有歷史版本給企業運用。

參考資料：TechCrunch、SecurityWeek、Infisical Blog、Infisical

本文授權轉載自：創業小聚

責任編輯：錢玉紘