详细内容或原文请订阅后点击阅览
1280 万次泄密:幽灵般的秘密让开发者感到恐惧
GitHub 中的漏洞如何威胁世界上最大的组织。
来源:安全实验室新闻频道GitHub 中的漏洞如何威胁世界上最大的组织。
根据 Aqua Security 研究人员最近的一份报告,代码存储库中的机密数据泄露问题正变得越来越严重。专家们已经确定了所谓的“幻影秘密”,即即使从代码中删除后仍然可以访问的机密信息。
水安全据 GitGuardian 统计,2023 年 GitHub 提交中新发现近 1280 万起机密泄露案例,较上年增加近 300 万起。相比之下,2020 年这个数字仅为 300 万。
GitGuardian GitHub一些秘密,例如 API 令牌、凭证和访问密钥,多年来一直保持开放。更令人担忧的是,大多数扫描方法都会漏掉违规行为。专家估计 Git 存储库中大约 18% 的秘密可能未被发现。
该问题与 GitHub、Bitbucket 和 GitLab 等源代码管理 (SCM) 系统存储删除或更新的提交的方式有关。即使是在代码中使用过一次的机密,或者被视为已删除的机密,也仍然可以访问。
该研究涵盖 GitHub 上最大的 100 个组织。总共分析了超过 52,000 个公开可用的存储库。结果令人震惊:发现了允许访问世界上最大组织的关键资源的漏洞。可能受到损害的系统包括:
- 完整的云环境 用于敏感项目的内部模糊测试基础设施 遥测平台 网络设备 SNMP 机密 财富 500 强公司的摄像机镜头