- 10,776
- 18
- 8 Ноя 2022
Чем уязвимости в GitHub грозят крупнейшим мировым организациям.
Согласно недавнему отчету исследователей из компании Для просмотра ссылки Войдиили Зарегистрируйся , проблема утечки конфиденциальных данных в репозиториях кода приобретает все более серьезный характер. Эксперты выявили так называемые «фантомные секреты» — конфиденциальную информацию, которая остается доступной даже после ее предполагаемого удаления из кода.
По данным Для просмотра ссылки Войдиили Зарегистрируйся , в 2023 году было обнаружено почти 12,8 миллионов новых случаев утечки секретов в коммитах GitHub , что почти на 3 миллиона больше, чем в предыдущем году. Для сравнения, в 2020-ом это число составляло всего 3 миллиона.
Некоторые секреты, такие как API-токены, учетные данные и ключи доступа, оставались открытыми в течение многих лет. Еще более тревожным является тот факт, что большинство методов сканирования попросту пропускают нарушения. По оценкам экспертов, около 18% секретов в Git-репозиториях могут остаться незамеченными.
Проблема связана с тем, как системы управления исходным кодом (SCM), такие как GitHub, Bitbucket и GitLab, сохраняют удаленные или обновленные коммиты. Даже единожды использованный в коде секрет или секрет, который считается удаленным, может оставаться доступным.
Исследование охватывает 100 крупнейших организаций на GitHub. В общей сложности было проанализировано более 52 000 публично доступных репозиториев. Результаты оказались тревожными: обнаружены уязвимости, позволяющие получить доступ к критически важным ресурсам крупнейших мировых организаций. Среди потенциально скомпрометированных систем оказались:
Аналитики подчеркивают необходимость решения проблемы «фантомных секретов» для защиты разработчиков и их проектов. Они рекомендуют использовать комплексный подход, который включает в себя:
Согласно недавнему отчету исследователей из компании Для просмотра ссылки Войди
По данным Для просмотра ссылки Войди
Некоторые секреты, такие как API-токены, учетные данные и ключи доступа, оставались открытыми в течение многих лет. Еще более тревожным является тот факт, что большинство методов сканирования попросту пропускают нарушения. По оценкам экспертов, около 18% секретов в Git-репозиториях могут остаться незамеченными.
Проблема связана с тем, как системы управления исходным кодом (SCM), такие как GitHub, Bitbucket и GitLab, сохраняют удаленные или обновленные коммиты. Даже единожды использованный в коде секрет или секрет, который считается удаленным, может оставаться доступным.
Исследование охватывает 100 крупнейших организаций на GitHub. В общей сложности было проанализировано более 52 000 публично доступных репозиториев. Результаты оказались тревожными: обнаружены уязвимости, позволяющие получить доступ к критически важным ресурсам крупнейших мировых организаций. Среди потенциально скомпрометированных систем оказались:
- Полные облачные среды
- Внутренняя инфраструктура фаззинга конфиденциальных проектов
- Платформы телеметрии
- Сетевые устройства
- Секреты SNMP
- Видеозаписи с камер компаний из списка Fortune 500
Аналитики подчеркивают необходимость решения проблемы «фантомных секретов» для защиты разработчиков и их проектов. Они рекомендуют использовать комплексный подход, который включает в себя:
- Обучение разработчиков безопасным практикам кодирования
- Внедрение специализированных инструментов для управления секретами
- Автоматизированное сканирование кода на наличие уязвимостей перед его публикацией в открытых репозиториях
- Доступом разработчиков к конфиденциальной информации и критически важным системам
- Расширением поверхности атаки, связанным с увеличением использования открытого исходного кода и распространением облачных технологий разработки
- Источник новости
- www.securitylab.ru
