“机密蔓延”成软件供应链安全的梦魇

 聚焦源代码安全，网罗国内外最新资讯！

虽然被泄机密的攻陷已成为多起软件供应链攻击事件的中心焦点，但该公司指出机密蔓延遍布各处且以令人震惊的速度增长。

GitGuardian 公司发布新报告记录了其查找被泄企业机密的工作，结果发现一家拥有400名开发人员的企业将在仓库和commit 中发现约1050次唯一机密泄露情况。更糟糕的是，从当前的安全与开发人员比率来看，该公司认为“没有办法管理爆炸式的现代代码中的数字化认证凭据泄露问题”。

报告提到，“平均13个不同的地方就可检测到一个机密，修复工作远远超出了当前的 AppSec 能力：安全和开发人员的比率是1:100,即1个应用安全工程师平均年要处理3413个机密暴露情况。”

获得4400万美元风投的法国创业公司 The Paris 致力于解决机密蔓延问题，它表示，这是安全工程师正在经历的“噩梦”。

GitGuardian 公司指出，“凭据对于安全工程师而言就是噩梦，因为凭据可能存在任何地方：构建、监控或运行时日志、栈跟踪和 git 历史。数据显示公开暴露在 GitHub 上的机密范围比例是2020年的两倍还多。”2021年运行扫描后，GitGuardian 公司发现暴露的600多万个机密，包括所有主流公有云基础设施的IAM凭据，“平均来说，在1000个commit 中就有1个暴露至少一个机密，比2020年增长了50%。”

除了 GitHub 外，GitGuardian 公司还在报告中呼吁注意泄露在 Docker Hub 镜像中的敏感信息。

该公司指出，“组成Docker 镜像的层像很多其它攻击面一样可轻易被排除在安全边界之外。对于攻击者而言，这是找到访问向量的一个机会，就像 Codecov 事件一样。”2021年4月，Codecov 软件供应链攻击影响很多硅谷企业。

报告提醒称，“如果说这些数据可得出一个结论，那么他就是补救实时事件和调查git历史中检测到的泄露事件所需的工作量远远超出了当前应用安全团队的能力。”

完整报告可见：https://res.cloudinary.com/da8kiytlc/image/upload/v1646148528/GitGuardian_StateOfSecretsSprawl2022.pdf