Gitguardian’s State of Secrets Sprawl Report voor 2025 onthult de alarmerende schaal van blootstelling aan geheimen in moderne softwareomgevingen. Dit besturen is de snelle groei van niet-menselijke identiteiten (NHIS), die al jaren in het aantal menselijke gebruikers zijn. We moeten het voor blijven en beveiligingsmaatregelen en governance voorbereiden op deze machine -identiteiten terwijl ze nog steeds worden ingezet, waardoor een ongekend niveau van beveiligingsrisico wordt gecreëerd.
Dit rapport onthult dat een verbazingwekkende 23,77 miljoen nieuwe geheimen alleen al in 2024 op GitHub zijn gelekt. Dit is een stijging van 25% van het voorgaande jaar. Deze dramatische toename benadrukt hoe de proliferatie van niet-menselijke identiteiten (NHI’s), zoals servicerekeningen, microservices en AI-agenten, het aanvalsoppervlak voor dreigingsactoren snel uitbreiden.
De niet-menselijke identiteitscrisis
NHI-geheimen, waaronder API-toetsen, serviceaccounts en Kubernetes-werknemers, overtreffen nu menselijke identiteiten met ten minste 45-tot-1 in DevOps-omgevingen. Deze machine-gebaseerde referenties zijn essentieel voor de moderne infrastructuur, maar creëren aanzienlijke beveiligingsuitdagingen wanneer het verkeerd werd beheerd.
Het meest zorgwekkend is de persistentie van blootgestelde referenties. Uit de analyse van Gitguardian bleek dat 70% van de geheimen die voor het eerst in 2022 in openbare repositories voor het eerst werden gedetecteerd, vandaag actief blijven, wat wijst op een systemische storing in referentierotatie en managementpraktijken.
Private Repositories: een vals gevoel van veiligheid
Organisaties geloven misschien dat hun code veilig is in particuliere repositories, maar de gegevens vertellen een ander verhaal. Particuliere repositories hebben ongeveer 8 keer meer kans om geheimen te bevatten dan openbare. Dit suggereert dat veel teams vertrouwen op “beveiliging door duisternis” in plaats van het implementeren van goed geheimenbeheer.
Het rapport vond significante verschillen in de soorten geheimen die werden gelekt in particuliere versus openbare repositories:
- Generieke geheimen vertegenwoordigen 74,4% van alle lekken in particuliere repositories versus 58% in openbare
- Generieke wachtwoorden zijn goed voor 24% van alle generieke geheimen in particuliere repositories vergeleken met slechts 9% in openbare repositories
- Enterprise -referenties zoals AWS IAM -toetsen verschijnen in 8% van de particuliere repositories, maar slechts 1,5% van de openbare
Dit patroon suggereert dat ontwikkelaars voorzichtiger zijn met openbare code, maar vaak de hoeken snijden in omgevingen waarvan ze denken dat ze worden beschermd.
AI -tools verslechteren het probleem
GitHub Copilot en andere AI -coderingsassistenten kunnen de productiviteit stimuleren, maar ze verhogen ook de beveiligingsrisico’s. Repositories met Copilot ingeschakeld bleken een 40% hoger incidentie van geheime lekken te hebben in vergelijking met repositories zonder AI -hulp.
Deze verontrustende statistiek suggereert dat AI-aangedreven ontwikkeling, terwijl hij de productie van code versnelt, ontwikkelaars kan aanmoedigen om prioriteit te geven aan snelheid boven beveiliging, inbedden inloggegevens op een manier die traditionele ontwikkelingspraktijken kunnen vermijden.
Docker Hub: 100.000+ geldige geheimen blootgesteld
In een ongekende analyse van 15 miljoen openbare Docker -afbeeldingen van Docker Hub, ontdekte Gitguardian meer dan 100.000 geldige geheimen, waaronder AWS -toetsen, GCP -toetsen en GitHub -tokens van Fortune 500 -bedrijven.
Uit het onderzoek bleek dat 97% van deze geldige geheimen uitsluitend in beeldlagen werd ontdekt, waarbij de meeste in lagen kleiner zijn dan 15 MB. ENV -instructies alleen waren goed voor 65% van alle lekken, wat een aanzienlijke blinde vlek in de containerbeveiliging benadrukt.
Beyond Source Code: Secrets in samenwerkingstools
Geheime lekken zijn niet beperkt tot code -repositories. Uit het rapport bleek dat samenwerkingsplatforms zoals Slack, Jira en Confluence belangrijke vectoren zijn geworden voor blootstelling aan referenties.
Alarmerend, geheimen die in deze platforms worden gevonden, zijn meestal kritischer dan die in broncode -repositories, waarbij 38% van de incidenten als zeer kritisch of dringend is geclassificeerd in vergelijking met 31% in broncodebeheersystemen. Dit gebeurt gedeeltelijk omdat deze platforms de beveiligingscontroles missen die aanwezig zijn in moderne hulpmiddelen voor broncodebeheer.
Alarmerend is dat slechts 7% van de geheimen in samenwerkingstools ook in de codebasis te vinden is, waardoor dit gebied van geheimen een unieke uitdaging heeft die de meeste geheime scanhulpmiddelen niet kunnen verzachten. Het wordt ook geërgerd door het feit dat de gebruikers van deze systemen alle afdelingsgrenzen overschrijden, wat betekent dat iedereen potentieel referenties in deze platforms lekt.
Het machtigingsprobleem
Gitguardian veronderstelde het risico verder dat gelekte referenties vaak overmatige machtigingen hebben:
- 99%van de GitLab API-toetsen had volledige toegang (58%) of alleen-lezen toegang (41%)
- 96% van de GitHub -tokens had schrijftoegang, met 95% die volledige repository -toegang biedt
Deze brede machtigingen versterken de potentiële impact van gelekte referenties aanzienlijk, waardoor aanvallers lateraal kunnen bewegen en gemakkelijker kunnen escaleren.
De cyclus van geheimen verbreken
Hoewel organisaties in toenemende mate geheime managementoplossingen gebruiken, benadrukt het rapport dat deze tools alleen niet voldoende zijn. Gitguardian ontdekte dat zelfs repositories met behulp van Secrets -managers een incidentie van 5,1% van gelekte geheimen hadden in 2024.
Het probleem vereist een uitgebreide aanpak die de hele levenscyclus van Secrets aanpakt, het combineren van geautomatiseerde detectie met snelle saneringsprocessen en het integreren van beveiliging tijdens de ontwikkelingsworkflow.
Zoals ons rapport concludeert: “Het Secrets State of Secrets-sprawl-rapport biedt een grimmige waarschuwing: als niet-menselijke identiteiten zich vermenigvuldigen, doen hun bijbehorende geheimen ook-en beveiligingsrisico’s. Reactieve en gefragmenteerde benaderingen van Secrets Management zijn gewoon niet genoeg in een wereld van geautomatiseerde implementaties, AI-gegenereerde code en snelle applicatie-levering.”
