根据代码安全平台GitGuardian最新发布的安全主管调查报告,75%的受访者经历过至少一次公司软件开发机密的数据泄露,包括API密钥、用户名密码和加密密钥。
报告显示,受访的美国和英国CISO约有52%无法确保公司的开发机密信息不被泄露。该报告指出,尽管美国和英国企业的保密管理实践已经成熟,但仍有走很长的路要走。
这项研究分析了507名IT决策者的回复,受访者包括IT总监、IT副总裁、CIO、CSO、CISO和网络安全副总裁,以评估DevOps环境中暴露的机密信息的风险。
根据GitGuardian今年早些时候发布的“2023年机密蔓延状态”报告,2022年在Github上检测到了1000万个源代码机密,同比增长了67%。
软件供应链的三个关键风险点
研究表明,英美企业的IT部门普遍意识到了泄露机密的危险。75%的受访者表示,他们的企业过去曾发生过泄密事件,60%的受访者承认这给公司、员工或两者造成了严重的问题。
暴露的机密包括API密钥、用户名密码和加密密钥等。只有10%的发生过泄密事件的受访者表示,泄密事件并未影响公司或其员工。
调查显示,软件供应链存在三个关键风险点:58%的受访者认为“源代码和存储库”是核心风险领域,其次是“开源依赖”(53%)和“硬编码机密”(47%)。
“包含大量机密信息的代码存储库将成为网络攻击的宝藏,”ESG分析师Melinda Marks指出:“重要的是,云原生应用安全不仅仅是保护应用程序中的代码,还必须保护用于运行和开发应用程序的所有内容,包括CI/CD管道及其关联的存储库。”
机密管理水平普遍滞后
整个行业的机密管理实践仍有很长的路要走。接近一半(48%)的受访者表示他们可以“在很大程度上”防止此类泄漏,但其余的受访者回答“在某种程度上”或“很少”。
此外,当被问及硬编码机密策略时,27%的受访者表示他们依靠人工审查来检测硬编码机密,这表明机密管理方式过时、效率低下。此外,17%的人认为他们不需要机密信息检测,因为他们使用了机密管理器或保险库,3%的人承认根本没有策略。
值得注意的是,相当大比例(53%)的高级安全主管承认,在开发团队中,机密信息是以纯文本形式共享的。
“我认为最大的问题是开发人员在编写代码时可能因疏忽而暴露机密,例如在提交代码时忘记删除重要数据、凭据或机密。因此,开发人员的安全意识培训很重要,此外还需要为他们提供轻松查找和纠正安全问题的工具。”报告指出。
该研究指出,与其他工具(特别是运行时保护工具)相比,机密检测和修复以及机密管理(在投资方面)的优先级较低。虽然38%的受访者表示计划投资运行时应用程序保护工具,但分别只有26%和25%的受访者表示他们将把钱投入到机密检测和修复以及机密管理上。
不过,GitGuardian的调查也揭示了光明的一面:94%的受访者表示他们正在以某种方式考虑在未来12-18个月内改进他们的机密管理实践。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。