本日発表された新しいGitGuardianレポートによると、組織は6年に2021万を超えるパスワード、APIキー、およびその他の機密データ(総称して開発「秘密」と呼ばれる)を漏洩し、前年のXNUMX倍になりました。 レポートは、より多くのコードがリポジトリにプッシュされ、より優れた検出機能が利用可能であるという事実を説明しています。
同社は平均して、GitHubへの1,000回のコミットごとに50回、2020年より10%高い頻度でシークレットをリークしていることを発見しました。シークレットの半分以上は、データストレージサービス、クラウドプロバイダー、秘密暗号化キーにアクセスするための資格情報で構成されていました。または開発ツールであり、別のXNUMX%はメッセージングシステムとバージョン管理プラットフォームの資格情報で構成されていました。
機密性の高いアクセス情報を潜在的な攻撃者に漏らすと、企業ネットワークとインフラストラクチャのセキュリティが損なわれると、GitGuardianの開発者擁護者であるマッケンジージャクソンは述べています。 「シークレット」という用語は、APIキー、アプリケーションまたはサービスのクレデンシャル、セキュリティ証明書など、「サービス、システム、およびデータへのアクセスを許可する」デジタル認証クレデンシャルを指します、とGitGuardianは言います。
「ほとんどすべての攻撃で、シークレットは何らかの方法で使用されます。おそらく初期アクセスとしてではなく、攻撃者の特権を高めて別のシステムに移動するためです」とジャクソン氏は言います。 「この劇的な増加を見て正直驚きましたが、明らかに、開発者が処理するテクノロジーの量の増加と、リモートワークなどの他の要因に帰着します。」
レポートは、秘密が漏洩した2021年のいくつかの重大な違反に続いています。 XNUMX年前、攻撃者 脆弱性を悪用 コードチェック会社のCodeCovがDockerイメージを作成した方法で、アップロードツールを変更して、攻撃者にも資格情報を送信し、数百の企業の開発プロセスを危険にさらす可能性があります。 別の違反では、攻撃者がゲームストリーミングサイトTwitchからソースコードを漏洩し、6,000を超えるGitリポジトリと3万のドキュメントを公開しました。 6,600以上の開発シークレットを漏らしている それはさらなる違反に使用された可能性があります。
漏洩した秘密は圧倒的な問題
全体として、400人の開発者がリポジトリをスキャンしている典型的な企業は、開発者のコードに残された1,050の固有の秘密を発見しました。 GitGuardianレポートによると。 同社は、漏洩した秘密を見つけて修正することは、開発プロジェクトを安全に保つことを任務とするAppSecの専門家の能力を超えていることを強調しています。 ジャクソン氏によると、企業の各アプリケーションエンジニアは、平均して3,400を超える漏洩した秘密に対処する必要があります。
「それは本当に不可能な仕事です—彼らは問題に完全に圧倒されています」と彼は言います。 「これを解決するには、開発者に共通の責任を導入する必要があります。開発者にツールを提供する必要があり、教育を受ける必要があります。」
GitGuardianは今年、分析をパブリックDockerイメージと組織のプライベートリポジトリに拡張しました。 さらに、同社は350年に使用された250の検出器から、2020を超える秘密の検出パターンを持っています。多くの開発者は、公開されても秘密が公開されないと信じて、プライベートリポジトリの秘密管理にあまり注意を払っていません。 ただし、コードは組織全体に広がる傾向があるとジャクソン氏は言います。
「現実には、今日のコードはプライベートリポジトリに入れられ、すべての開発者のマシン(おそらく、個人用および業務用のマシン)に複製され、メッセージングシステム間で共有されます」と彼は言います。 「そのため、コードがどこに行くのかを見失いがちです。」
GitGuardianレポートによると、プライベートリポジトリでのリークがインシデントの大部分を占めており、たとえば、プライベートリポジトリで発生したAzureクラウドにアクセスするためのリークされたクレデンシャルの85%があります。
個人プロジェクトは企業に影響を与える
レポートからのもうXNUMXつの興味深い発見は、開発者が週末と祝日に最も多くの秘密を漏らす傾向があることです。これは、開発者が個人的なプロジェクトに注意を払わない、またはセキュリティチェックが少ないことを示唆しています。
しかし、これらのリークは依然として企業のセキュリティを危険にさらしているとジャクソン氏は言います。
「GitHubは非常にユニークです。GitHub.comにアカウントがあり、組織でGitHubを使用している場合は、両方に同じアカウントを使用できるため、仕事と自己啓発の間に奇妙な混乱が生じます。 」と彼は言います。 「それで、私たちが見ているものには多くのクロスオーバーがあります—個人のgitリポジトリで企業の鍵が漏洩しています。」
GitGuardianは、レポートで、企業はアプリケーションセキュリティに開発者をより緊密に関与させ、責任分担モデルを作成する必要があると述べています。 開発者を関与させると、AppSecの専門家が単独で対処しなければならない場合に比べて、72%多くのインシデントをクローズし、XNUMX倍の速さで修復できます。
「脆弱性スキャンを開発ワークフローに統合することで、セキュリティはもはやボトルネックではなくなります。開発者が脆弱性を早期に発見し、修復コストを大幅に制限できるようになります」とレポートは述べています。 「これは、無秩序に広がることに非常に敏感な秘密の検出にさらに当てはまります。」
