**БОСТОН, САД, 11. марта 2025./ЦиберНевсВире/--**ГитГуардиан, лидер у области безбедности који стоји иза ГитХуб-ове најинсталисаније апликације, данас је објавио свој свеобухватни „Извештај о ширењу стања тајни за 2025.“, откривајући широко распрострањену и упорну безбедносну кризу која прети организацијама свих величина. Извештај открива повећање од 25% тајни које су процуреле у односу на претходну годину, са 23,8 милиона нових акредитива откривених на јавном ГитХубу само у 2024. Највише забрињава лидере у области безбедности предузећа: 70% тајни које су процуреле 2022. и даље је активно и данас, стварајући површину напада која се шири сваким даном.
„Експлозија тајни које су процуреле представља једну од најзначајнијих, али потцењених претњи у сајбер безбедности“, рекао је Ерик Фурије, извршни директор ГитГуардиана. „За разлику од софистицираних експлоатација нултог дана, нападачима нису потребне напредне вештине да би искористили ове рањивости – само један откривени акредитив може да обезбеди неограничен приступ критичним системима и осетљивим подацима.“ Ериц Фоурриер указује на кршење Министарства финансија САД из 2024. као упозорење: „Један кључ дозвољено цурење АПИ-ја од владе. системи Ово није био софистициран напад – то је био једноставан случај откривеног акредитива који је заобишао милионске инвестиције у безбедност.
Кључни налази за лидере у области безбедности
Извештај идентификује неколико критичних трендова који захтевају хитну пажњу:
Слепа тачка: Генеричке тајне
Упркос томе што ГитХуб-ова Пусх Протецтион помаже програмерима да открију познате тајне обрасце, генеричке тајне – укључујући тврдо кодиране лозинке, акредитиве базе података и прилагођене токене за аутентификацију – сада представљају више од половине свих откривених цурења. Овим акредитивима недостају стандардизовани обрасци, што их чини готово немогућим за откривање конвенционалним алатима.
Приватна складишта: лажни осећај сигурности
Анализа открива запањујућу истину: пуних 35% свих скенираних приватних складишта садржавало је најмање једну тајну отвореног текста, разбијајући уобичајену претпоставку да су приватна спремишта безбедна:
- АВС ИАМ кључеви су се појављивали у отвореном тексту у 8,17% приватних складишта — преко 5 пута чешће него у јавним (1,45%)
- Генеричке лозинке су се појављивале скоро 3 пута чешће у приватним репозиторијумима (24,1%) у поређењу са јавним (8,94%)
- МонгоДБ акредитиви су били најчешће процурели тајни тип у јавним репозиторијумима (18,84%)
„Тајне које су процуреле у приватним репозиторијумима кодова морају се третирати као компромитоване“, нагласио је Ерик Фурије. „Безбедносни тимови морају препознати да тајне треба третирати као осетљиве податке без обзира на то где се налазе.
Беионд Цоде: Тајне се шире широм СДЛЦ-а
Чврсто кодиране тајне су свуда, али посебно у безбедносним слепим тачкама као што су платформе за сарадњу и окружења контејнера где су безбедносне контроле обично слабије:
- Слабо: 2,4% канала унутар анализираних радних простора садржало је тајне које су процуриле
- Јира: 6,1% тикета је открило акредитиве, што га чини најрањивијим алатом за сарадњу
- ДоцкерХуб: 98% откривених тајни уграђено је искључиво у слојеве слике, са преко 7.000 важећих АВС кључева тренутно изложених
Криза нељудског идентитета
Нељудски идентитети (НХИ) — укључујући АПИ кључеве, услужне налоге и токене за аутоматизацију — сада увелико надмашују људске идентитете у већини организација. Међутим, овим акредитивима често недостаје правилно управљање животним циклусом и ротација, стварајући сталне рањивости.
Лидер безбедности у компанији Фортуне 500 признао је овај изазов: „Циљ нам је да ротирамо тајне сваке године, али примена је тешка у нашем окружењу. Неки акредитиви су годинама остали непромењени.“
Тајни менаџери: Није потпун одговор
Чак и организације које користе решења за управљање тајнама остају рањиве. Студија од 2.584 складишта која користе менаџере тајни открила је стопу цурења тајне од 5,1% — далеко од скоро нуле коју очекујемо. Ово премашује укупан ГитХуб просек од 4,6%.
Уобичајени проблеми укључују:
- Тајне извучене од менаџера тајни и чврсто кодиране на другом месту
- Небезбедна аутентификација менаџерима тајни који откривају акредитиве за приступ
- Фрагментирано управљање због тога што се тајне шире међу више менаџера тајни
Пут напред: свеобухватне тајне безбедности
Како се код, аутоматизација и развој заснован на облаку генерисани од вештачке интелигенције убрзавају, извештај предвиђа да ће се ширење тајни само интензивирати. Док је ГитХуб-ова Пусх заштита смањила нека цурења, она оставља значајне празнине—посебно са генеричким тајнама, приватним репозиторијумима и алатима за сарадњу.
„За ЦИСО-е и лидере у области безбедности, циљ није само откривање – то је санирање ових рањивости пре него што буду искоришћене“, рекао је Ерик Фурије. „Ово захтева свеобухватан приступ који укључује аутоматизовано откривање, откривање, санацију и јаче управљање тајнама на свим платформама предузећа.“
Извештај се завршава стратешким оквиром за организације да се баве тајнама које се шире кроз:
- Примена надгледања за изложене акредитиве у свим окружењима
- Имплементација централизованог откривања и поправљања тајни
- Успостављање полуаутоматизованих политика ротације за све акредитиве
- Креирање јасних смерница за програмере за безбедно коришћење трезора
Да бисте прочитали цео Извештај о стању тајни за 2025. годину, корисници могу да посете
Додатни ресурси
О ГитГуардиану
Овај двоструки приступ омогућава откривање угрожених тајни у вашим развојним окружењима, док истовремено управља нељудским идентитетима и животним циклусима њихових тајни. Платформа је најинсталиранија ГитХуб апликација на свету и подржава преко 450+ типова тајни, нуди јавни надзор за процуреле податке и примењује токене за додатну одбрану. Уз поверење преко 600.000 програмера, ГитГуардиан је избор водећих организација као што су Сновфлаке, ИНГ, БАСФ и Боуигуес Телецом за робусну заштиту тајни.
Контакт
Контакт за медије
Холли Хагерман
Цоннецт Маркетинг
холлих@цоннецтмаркетинг.цом
+1(801) 373-7888
Ову причу је као издање дистрибуирао Циберневсвире у оквиру ХацкерНоон-овог Бусинесс Блоггинг Програма. Сазнајте више о програму
