AlexRedSec
@alexredsec
70% секретов, обнаруженных в публичных репозиториях GitHub в 2022 году, остаются действующими и на сегодняшний день
GitGuardian выпустил ежегодный отчет о проблемах управления секретами в различных сервисах (GitHub, Docker Hub) и инструментах (Slack, Jira, Confluence).
Главные выводы и статистика:
58% обнаруженных секретов относятся к категории неструктурированных/универсальных ("generic"). В эту категорию можно отнести жестко закодированные пароли, строки подключения к БД, токены аутентификации. Такие секреты сложно обнаружить автоматизированными средствами поиска.
В приватных репозиториях хранится в 8 раз больше секретов, чем в публичных, что говорит о том, что разработчики... ленивы!😅
Им проще закрыть репо, чем удалить секреты и не использовать жестко закодированные пароли и токены.
Разработчики всё чаще хранят секреты в инструментах для совместной работы (Slack, Jira, Confluence). На первом скрине можно увидеть статистику по каждому инструменту.
Анализ 15 миллионов публичных образов Docker (на Docker Hub) выявил около 100 000 действующих секретов, включая ключи AWS, GCP и токены GitHub, принадлежащие компаниям из списка Fortune 500. Примечательно, что 98% обнаруженных секретов находились исключительно в слоях образов.
В репозиториях, где используется Copilot, частота утечек секретов на 40% выше, чем в среднем по всем публичным репозиториям. Это может быть связано как с тем, что код, генерируемый LLM, может быть менее безопасным, так и с тем, что использование ИИ может подталкивать разработчиков к приоритизации производительности в ущерб безопасности.
Обнаруженные секреты часто остаются неисправленными в течение длительного времени. 70% действующих секретов, обнаруженных в публичных репозиториях в 2022 году, остаются активными и сегодня.
Менеджеры секретов не решают все проблемы — фрагментация инструментов управления секретами и небезопасная аутентификация к ним являются факторами риска. Кроме того, они обычно не управляют полным жизненным циклом учетных данных.
Анализ публичных данных выявил, что значительный процент скомпрометированных токенов GitLab и GitHub обладали избыточными разрешениями. Например, 99% API-ключей GitLab имели полный доступ (58%) или доступ только для чтения (41%), а 96% токенов GitHub имели доступ на запись, причем 95% из них предоставляли полный доступ к репозиториям.
Рекомендации:
Внедрение комплексной стратегии управления секретами, включающей обнаружение, предотвращение, исправление и мониторинг.
Усиление безопасности инструментов для совместной работы.
Обучение разработчиков безопасным практикам работы с секретами.
Внедрение автоматизированных процессов ротации и отзыва секретов.
Минимизация привилегий доступа для не-человеческих идентификаторов (NHIs).
Использование динамических секретов вместо статических, там где это возможно.
Уделять внимание безопасности образов Docker.
#nhi #secrets #sprawl #github #jira #confluence #tokens #api #password #copilot #gitlab
GitGuardian выпустил ежегодный отчет о проблемах управления секретами в различных сервисах (GitHub, Docker Hub) и инструментах (Slack, Jira, Confluence).
Главные выводы и статистика:
58% обнаруженных секретов относятся к категории неструктурированных/универсальных ("generic"). В эту категорию можно отнести жестко закодированные пароли, строки подключения к БД, токены аутентификации. Такие секреты сложно обнаружить автоматизированными средствами поиска.
В приватных репозиториях хранится в 8 раз больше секретов, чем в публичных, что говорит о том, что разработчики... ленивы!😅
Им проще закрыть репо, чем удалить секреты и не использовать жестко закодированные пароли и токены.
Разработчики всё чаще хранят секреты в инструментах для совместной работы (Slack, Jira, Confluence). На первом скрине можно увидеть статистику по каждому инструменту.
Анализ 15 миллионов публичных образов Docker (на Docker Hub) выявил около 100 000 действующих секретов, включая ключи AWS, GCP и токены GitHub, принадлежащие компаниям из списка Fortune 500. Примечательно, что 98% обнаруженных секретов находились исключительно в слоях образов.
В репозиториях, где используется Copilot, частота утечек секретов на 40% выше, чем в среднем по всем публичным репозиториям. Это может быть связано как с тем, что код, генерируемый LLM, может быть менее безопасным, так и с тем, что использование ИИ может подталкивать разработчиков к приоритизации производительности в ущерб безопасности.
Обнаруженные секреты часто остаются неисправленными в течение длительного времени. 70% действующих секретов, обнаруженных в публичных репозиториях в 2022 году, остаются активными и сегодня.
Менеджеры секретов не решают все проблемы — фрагментация инструментов управления секретами и небезопасная аутентификация к ним являются факторами риска. Кроме того, они обычно не управляют полным жизненным циклом учетных данных.
Анализ публичных данных выявил, что значительный процент скомпрометированных токенов GitLab и GitHub обладали избыточными разрешениями. Например, 99% API-ключей GitLab имели полный доступ (58%) или доступ только для чтения (41%), а 96% токенов GitHub имели доступ на запись, причем 95% из них предоставляли полный доступ к репозиториям.
Рекомендации:
Внедрение комплексной стратегии управления секретами, включающей обнаружение, предотвращение, исправление и мониторинг.
Усиление безопасности инструментов для совместной работы.
Обучение разработчиков безопасным практикам работы с секретами.
Внедрение автоматизированных процессов ротации и отзыва секретов.
Минимизация привилегий доступа для не-человеческих идентификаторов (NHIs).
Использование динамических секретов вместо статических, там где это возможно.
Уделять внимание безопасности образов Docker.
#nhi #secrets #sprawl #github #jira #confluence #tokens #api #password #copilot #gitlab
👍 4
🤔 2
❤ 1
26 1.5K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram