GitGuardian, мировой лидер в области автоматического обнаружения секретов, сегодня объявил результаты своего отчета о состоянии секретов за 2023 год. Отчет основан на подробном анализе GitGuardian общедоступного GitHub за 2022 год.
GitGuardian просканировал 1,027 млрд новых коммитов в 2022 г. (+20% по сравнению с 2021 г.) и обнаружил 10 000 000 секретных событий (+67% по сравнению с 2022 г.). Что интересно помимо этого постоянно растущего числа, так это то, что 1 автор кода из 10 раскрыл секрет в 2022 году.
Это распространенный миф, что младшие разработчики в основном передают жестко закодированные секреты, но реальность такова, что это может случиться с любым разработчиком, независимо от его опыта или стажа работы.
Секреты — это не просто учетные данные; они надежно скрепляют компоненты современной цепочки поставок программного обеспечения, от кода до облака. И из-за рычагов, которые они предоставляют, они стали самой востребованной информацией хакеров. Однако многие нарушения, произошедшие в 2022 году, показали, насколько неадекватна их защита.
Два недавних примера иллюстрируют, как секреты могут быть использованы в атаке:
Убер 15 сентября 2022 г.: Злоумышленник взломал Uber и использовал жестко запрограммированные учетные данные администратора для входа в Thycotic, платформу управления привилегированным доступом фирмы. Они полностью захватили несколько внутренних инструментов и приложений для повышения производительности.
CircleCI 29 декабря 2022 г .: злоумышленник использовал вредоносное ПО, развернутое на ноутбуке инженера CircleCI, для кражи действительного сеанса единого входа с поддержкой 2FA. Затем они могут эксфильтровать данные клиентов, включая переменные среды клиента, токены и ключи.
«Секретные данные, в том числе токены и ключи, найденные в открытых репозиториях, таких как GitHub, легко перепродаются (или в некоторых случаях передаются бесплатно) в даркнете и глубокой сети. Существует большое количество конфиденциальной информации, доступной для скачивания в даркнете и глубокой сети по цене от бесплатной до нескольких тысяч долларов». Марк Тернейдж, генеральный директор и соучредитель DarkOwl
Более 80% всех секретов, выловленных в ходе живого мониторинга GitHub, раскрываются через личные репозитории разработчиков, и большая их часть, по сути, является корпоративной тайной. Несколько гипотез могут объяснить, почему это происходит. Конечно, злонамеренное поведение, в том числе захват корпоративных ресурсов и другие темные мотивы, нельзя отбрасывать. Но сам масштаб этого явления намекает на кое-что еще: в большинстве случаев это происходит из-за того, что ошибкой является человеческий фактор, а неправильно настроить Git легко.
«Если бы коллега из службы безопасности сказал мне, что раскрытие секретов не является приоритетом, я бы сказал, что это ошибка. Большинство серьезных проблем с безопасностью возникают либо из-за атак социальной инженерии, либо из-за вброса учетных данных. Так что очень важно знать, что ваши инженеры и ваши сотрудники будут раскрывать секреты. Такова жизнь. Чаще всего это происходит из-за ошибок. Но если это произойдет, мы должны действовать. Чем больше инженеров, тем больше вероятность утечек.”
Тео Куснир — инженер по безопасности приложений в PayFit
Не следует забывать, что приватный исходный код может оказаться в открытом доступе по ошибке или потому, что он был украден. Недавний Samsung, Нвидиа, Майкрософти Дропбокс утечки кода являются хорошим примером.
Как и многие другие проблемы безопасности, плохая гигиена секретов связана с обычной тройственностью людей, процессов и инструментов. Организации, серьезно настроенные на укрощение секретов, должны работать одновременно на всех этих фронтах.
“Наша миссия — защитить код и SDLC. Мы хотим сделать это с помощью прозрачного, простого и прагматичного подхода, начиная с одной из самых важных проблем безопасности приложений: секретов в коде.“. Эрик ФурьеCEO
Скачать State of Secrets Sprawl 2023 отчет здесь.
Вебинар с докладом состоится 22 марта в 11:00 по восточному поясному времени
* Секрет: в разработке программного обеспечения секреты обычно относятся к учетным данным цифровой аутентификации, которые предоставляют доступ к системам или данным. Чаще всего это ключи API, имена пользователей, пароли или сертификаты безопасности.
Дополнительные ресурсы
- GitGuardian — Веб-сайт
- Внутренний мониторинг GitGuardian — GitHub Marketplace
- Модель зрелости управления секретами
О GitGuardian
GitGuardian — лидер в области автоматического обнаружения секретов. Компания привлекла 56 миллионов долларов инвестиций от Eurazeo, Sapphire, Balderton и известных технологических предпринимателей, таких как Скотт Чакон, соучредитель GitHub, и Соломон Хайкс, соучредитель Docker.
GitGuardian Internal Monitoring помогает организациям обнаруживать и устранять уязвимости в исходном коде на каждом этапе жизненного цикла разработки программного обеспечения. С помощью механизма политик GitGuardian группы безопасности могут отслеживать и применять правила в своих VCS, инструментах DevOps и конфигурациях «инфраструктура как код».
GitGuardian, широко принятый сообществами разработчиков, используется более чем 300 тысячами разработчиков и является приложением № 1 в категории безопасности на Торговая площадка GitHub. GitGuardian также доверяют ведущие компании, включая Instacart, Snowflake, Orange, Iress, Mirantis, Maven Wave, Payfit и Bouygues Telecom.
GitGuardian объединяет группы безопасности и разработчиков вместе с автоматизированными сценариями исправления и функциями совместной работы для быстрого и тщательного разрешения инцидентов. Организации могут добиться более высоких показателей закрытия инцидентов и сокращения времени исправления, привлекая разработчиков ближе к процессу исправления.
Посетить Официальный веб-сайт Узнать больше
Методология
Механизм обнаружения секретов
Механизм обнаружения секретов GitGuardian анализирует миллиарды коммитов в рабочей среде с 2017 года. С первого дня мы начали обучать и сравнивать наши алгоритмы с открытым исходным кодом. Это позволило GitGuardian создать механизм обнаружения секретов, не зависящий от языка, интегрируя новые секреты или новые способы объявления секретов очень быстро, сохраняя при этом очень низкое количество ложных срабатываний. Мы разработали самую обширную библиотеку специальных детекторов для обнаружения более 350 различных типов секретов.[1]. Узнайте больше о внутренней работе и тестировании производительности нашего механизма обнаружения. в нашем блоге.
Читать полную новость на сайте
/cloudfront-us-east-2.images.arcpublishing.com/reuters/ZH33WZ3K3ZN6FGVXQZAAEVK4WU.jpg "Голландский регулятор возражает против комиссии Apple в деле о приложении для знакомств")
/cloudfront-us-east-2.images.arcpublishing.com/reuters/6LGV2GSYN5LHDMOIH7ZDBDDWEM.jpg "Суд отверг иск Deutsche Telekom о взыскании процентов по штрафу")
