Чем уязвимости в GitHub грозят крупнейшим мировым организациям.
Согласно недавнему отчету исследователей из компании Aqua Security , проблема утечки конфиденциальных данных в репозиториях кода приобретает все более серьезный характер. Эксперты выявили так называемые «фантомные секреты» — конфиденциальную информацию, которая остается доступной даже после ее предполагаемого удаления из кода.
По данным GitGuardian , в 2023 году было обнаружено почти 12,8 миллионов новых случаев утечки секретов в коммитах GitHub, что почти на 3 миллиона больше, чем в предыдущем году. Для сравнения, в 2020-ом это число составляло всего 3 миллиона.
Некоторые секреты, такие как API-токены, учетные данные и ключи доступа, оставались открытыми в течение многих лет. Еще более тревожным является тот факт, что большинство методов сканирования попросту пропускают нарушения. По оценкам экспертов, около 18% секретов в Git-репозиториях могут остаться незамеченными.
Проблема связана с тем, как системы управления исходным кодом (SCM), такие как GitHub, Bitbucket и GitLab, сохраняют удаленные или обновленные коммиты. Даже единожды использованный в коде секрет или секрет, который считается удаленным, может оставаться доступным.
Исследование охватывает 100 крупнейших организаций на GitHub. В общей сложности было проанализировано более 52 000 публично доступных репозиториев. Результаты оказались тревожными: обнаружены уязвимости, позволяющие получить доступ к критически важным ресурсам крупнейших мировых организаций. Среди потенциально скомпрометированных систем оказались:
Аналитики подчеркивают необходимость решения проблемы «фантомных секретов» для защиты разработчиков и их проектов. Они рекомендуют использовать комплексный подход, который включает в себя:
Живой, мертвый или в суперпозиции? Узнайте в нашем канале