InfoQ
·
公共代码库中的凭证泄露问题比以往更严重,最新报告显示
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
GitGuardian报告显示,2024年凭证泄露问题加剧,公共GitHub代码库中发现的秘密增加25%,共检测到2380万个新硬编码秘密,其中58%为“通用”秘密。私有库泄露风险更高,开发者存在安全盲区。同时,Docker Hub也发现大量活跃的泄露凭证。GitHub和GitLab等工具正在努力应对这一问题。
🎯
关键要点
- GitGuardian报告显示,2024年凭证泄露问题加剧,公共GitHub代码库中发现的秘密增加25%。
- 2024年在公共GitHub提交中检测到2380万个新硬编码秘密,显示敏感凭证泄露趋势上升。
- 秘密泄露被认为是过去一年多起高调黑客事件的原因,包括纽约时报源代码泄露和Sisense凭证泄露。
- 报告指出,58%的检测到的秘密为“通用”秘密,通常是硬编码密码、数据库连接字符串等,且自动扫描工具常常漏掉这些格式。
- GitHub的Push Protection工具有效减少了已知凭证模式的提交,但对通用秘密的识别仍然存在困难。
- 私有库中发现秘密的概率是公共库的八倍,开发者对私有库的安全性存在误解。
- 除了源代码库,Slack、Jira和Confluence等协作工具中也存在大量秘密泄露事件。
- 在公共Docker Hub中发现超过10万个秘密,包括AWS和GCP密钥,缺乏通知系统加剧了泄露问题。
- 70%的2022年检测到的秘密在2024年仍然活跃,表明凭证生命周期管理不善。
- GitGuardian利用机器学习改进秘密检测,增强了对不规则秘密的验证信心。
- GitHub和GitLab等工具正在积极开发工具以减少秘密泄露问题。
❓
延伸问答
2024年公共GitHub代码库中的凭证泄露情况如何?
2024年公共GitHub代码库中发现的秘密增加了25%,共检测到2380万个新硬编码秘密。
凭证泄露的主要原因是什么?
凭证泄露的主要原因包括硬编码密码和数据库连接字符串等通用秘密的增加,这些秘密占检测到的58%。
私有库与公共库的凭证泄露风险有什么不同?
私有库中发现秘密的概率是公共库的八倍,开发者对私有库的安全性存在误解。
GitHub如何应对凭证泄露问题?
GitHub推出了Push Protection工具,旨在阻止包含已知凭证模式的提交,并积极开发其他工具以减少秘密泄露。
Docker Hub中发现了什么样的凭证泄露?
在公共Docker Hub中发现超过10万个秘密,包括AWS和GCP密钥,缺乏通知系统加剧了泄露问题。
凭证生命周期管理不善的后果是什么?
70%的2022年检测到的秘密在2024年仍然活跃,表明凭证生命周期管理不善,增加了被滥用的风险。
➡️
