秘密蔓延威脅軟件供應(yīng)鏈,硬編碼秘密激增67%
責編:gltian |2023-03-22 16:46:542022年檢測到的硬編碼秘密數(shù)量比2021年高出67%,公開GitHub提交中就發(fā)現(xiàn)了1000萬個新增秘密。以上數(shù)據(jù)出自GitGuardian的《2023年秘密蔓延狀況》報告。報告顯示,硬編碼秘密和秘密蔓延(在多個不同位置存儲秘密)加速威脅軟件供應(yīng)鏈安全。
由于常以明文存儲,硬編碼秘密造成了重大安全風險,可方便攻擊者從源代碼中抽取秘密。代碼注入或數(shù)據(jù)泄露等其他安全漏洞也會無意中披露或暴露硬編碼秘密。
2022:秘密泄露大年
GitGuardian掃描了去年以來的10億多個提交,發(fā)現(xiàn)2022里秘密相關(guān)的泄露尤其多。1330萬在2022年向GitHub推送了代碼的不同作者中,135萬意外暴露了秘密;同時,5.5‰的提交暴露了至少一個秘密,相比2021年增長了50%。GitGuardian將秘密分為兩類:特定秘密和通用秘密。特定檢測器匹配AWS訪問密鑰或MongoDB數(shù)據(jù)庫憑證等可識別秘密,特定秘密占了研究中檢出秘密的33%。通用秘密占檢出秘密的67%,通用檢測器匹配公司電子郵件和硬編碼在文件中的密碼等秘密。
2022年捕獲的幾大特定秘密是google_api_key、private_key_rsa、private_key_generic、googlecloud_keys和postgresql_credentials。GitGuardian的研究發(fā)現(xiàn),密碼、高熵秘密和用戶名/密碼對是最常見的通用秘密。報告提到了最近的幾個案例:利用來攻擊Uber和CircleCI的秘密;影響LastPass、微軟、Okta和三星等公司的被盜源代碼存儲庫;影響Android、豐田和Infosys的公開暴露秘密。
硬編碼秘密和秘密蔓延威脅軟件供應(yīng)鏈
報告指出,硬編碼秘密和秘密蔓延對軟件供應(yīng)鏈安全造成了重大威脅。“秘密可能經(jīng)由不止一條途徑暴露,而源代碼這種資產(chǎn)可能很快就被分包商搞丟了,當然,源代碼盜竊也會弄丟源代碼。”報告補充道,暗網(wǎng)上與API秘密共享相關(guān)的討論和活動也是個日益嚴重的問題。“圍繞盜賣API密鑰的討論是最近兩年暗網(wǎng)上相對較新的一種現(xiàn)象,我們預計這種現(xiàn)象會繼續(xù)發(fā)展。”想要通過入侵供應(yīng)鏈擴大惡意軟件傳播范圍的黑客也討論了源自公開存儲庫的憑證和軸點。
Omdia高級首席分析師Fernando Montenegro向安全媒體CSO透露:“關(guān)鍵問題在于,無論是出于安全原因還是基礎(chǔ)設(shè)施升級等非安全原因,很難更改都是硬編碼秘密一項非常理想的特性,而硬編碼秘密不僅很難更改,還有可能暴露在任何能接觸到源代碼的人眼前。”這一重大問題可導致攻擊者能利用該信息實施假冒攻擊或者進一步獲取目標環(huán)境相關(guān)敏感信息。“其后果可能從負面審計結(jié)果直到全面基礎(chǔ)設(shè)施入侵和大規(guī)模數(shù)據(jù)滲漏。目前,這些秘密常現(xiàn)身于Git等源代碼控制系統(tǒng)中,此類系統(tǒng)又可能進一步擴大秘密的暴露范圍,甚至可能直接暴露在公眾眼前。”
Veracode首席信息安全官Sohail Iqbal同意這種觀點,并表示,硬編碼秘密很容易被盜和暴露,對熟悉秘密的資源構(gòu)成了內(nèi)部人威脅。“商業(yè)產(chǎn)品中的硬編碼秘密為大規(guī)模DDoS攻擊鋪平了道路。不斷增加的大量供應(yīng)鏈攻擊表明內(nèi)嵌秘密的持續(xù)集成/持續(xù)交付(CI/CD)管道面臨極高風險。”
解決硬編碼秘密和秘密蔓延的安全風險
公司必須明白,源代碼是自己最寶貴的資產(chǎn)之一,必須妥善保護。“第一步就是清晰審計公司在秘密方面的安全形勢:這些秘密在何處如何使用的?在哪兒泄露的?如何準備應(yīng)對最壞情況?類似很多其他安全挑戰(zhàn),秘密安全防護不佳通常涉及人員、流程和工具三個方面。重視遏制秘密蔓延的公司必須同時在所有這些方面開展工作。”
GitGuardian補充稱,可在各個層級左移硬編碼秘密檢測與緩解,從而構(gòu)筑貫穿整個開發(fā)周期的深度防御。可供使用的策略包括:
● 實時監(jiān)控集成了本地版本控制系統(tǒng)(VCS)或CI的所有存儲庫的提交和合并/拉取請求。
● 自用預接收檢查加強中央存儲庫防泄露。
● 做好長期規(guī)劃:制定策略處理通過歷史分析發(fā)現(xiàn)的事件。
● 實施秘密安全冠軍計劃。
Montenegro表示:“設(shè)計不使用硬編碼秘密的環(huán)境應(yīng)成為大多數(shù)公司的頭等要務(wù)。解決方案各不相同,包括秘密管理工具、源代碼審查等。第一步就是從開發(fā)人員和安全工程師直到其各自的管理鏈條,公司內(nèi)部普遍接受硬編碼秘密是個‘必須修復’的安全設(shè)計缺陷。
GitGuardian《2023年秘密蔓延狀況》報告
https://www.gitguardian.com/files/the-state-of-secrets-sprawl-report-2023
來源:數(shù)世咨詢
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧