**BOSTON, MAREKANI, Machi 11, 2025/CyberNewsWire/--**GitGuardian, kiongozi wa usalama wa programu iliyosakinishwa zaidi ya GitHub, leo ametoa "Ripoti ya Kuenea kwa Hali ya Siri ya 2025," inayofichua shida ya usalama iliyoenea na inayoendelea ambayo inatishia mashirika ya kila aina. Ripoti hiyo inafichua ongezeko la 25% la siri zilizovuja mwaka hadi mwaka, na vitambulisho vipya milioni 23.8 viligunduliwa kwenye GitHub ya umma mnamo 2024 pekee. Jambo linalowahusu zaidi viongozi wa usalama wa biashara: 70% ya siri zilizofichuliwa mwaka wa 2022 zinaendelea kutumika leo, na hivyo kuunda eneo la mashambulizi ambalo linakua hatari zaidi kila siku inayopita.
"Mlipuko wa siri zilizofichuliwa unawakilisha moja ya vitisho muhimu zaidi lakini ambavyo havijakadiriwa katika usalama wa mtandao," alisema Eric Fourrier, Mkurugenzi Mtendaji wa GitGuardian. "Tofauti na ushujaa wa hali ya juu wa siku sifuri, washambuliaji hawahitaji ujuzi wa hali ya juu kutumia udhaifu huu - kitambulisho kimoja tu kilichofichuliwa kinaweza kutoa ufikiaji usio na kikomo kwa mifumo muhimu na data nyeti." Eric Fourrier anaelekeza kwenye ukiukaji wa Idara ya Hazina ya 2024 kama onyo: "Ufunguo mmoja wa API uliovuja kutoka kwa mifumo ya washambuliaji iliruhusu kupenya kwa serikali. shambulio la kisasa-ilikuwa kesi rahisi ya hati iliyofichuliwa ambayo ilipita mamilioni ya uwekezaji wa usalama."
Matokeo Muhimu kwa Viongozi wa Usalama
Ripoti inabainisha mienendo kadhaa muhimu ambayo inahitaji uangalizi wa haraka:
Mahali pa Kipofu: Siri za Kawaida
Licha ya Ulinzi wa Kusukuma wa GitHub kusaidia wasanidi programu kugundua mifumo ya siri inayojulikana, siri za jumla-ikiwa ni pamoja na nenosiri ngumu, vitambulisho vya hifadhidata na tokeni maalum za uthibitishaji-sasa zinawakilisha zaidi ya nusu ya uvujaji wote uliotambuliwa. Vitambulisho hivi havina mifumo sanifu, na hivyo kuzifanya kuwa karibu kutowezekana kuzitambua kwa kutumia zana za kawaida.
Hazina za Kibinafsi: Hisia za Uongo za Usalama
Uchanganuzi unaonyesha ukweli wa kushangaza: 35% kamili ya hazina zote za kibinafsi zilizochanganuliwa zilikuwa na angalau siri moja ya maandishi, na kuvunja dhana ya kawaida kwamba hazina za kibinafsi ziko salama:
- Funguo za AWS IAM zilionekana katika maandishi wazi katika 8.17% ya hazina za kibinafsi—zaidi ya 5× mara nyingi zaidi kuliko zile za umma (1.45%).
- Manenosiri ya kawaida yalionekana karibu 3× mara nyingi zaidi katika hazina za kibinafsi (24.1%) ikilinganishwa na za umma (8.94%).
- Kitambulisho cha MongoDB kilikuwa aina ya siri iliyovuja mara kwa mara katika hazina za umma (18.84%).
"Siri zilizovuja katika hazina za misimbo ya kibinafsi lazima zichukuliwe kama zilizoathiriwa," alisisitiza Eric Fourrier. "Timu za usalama lazima zitambue kuwa siri zinapaswa kuchukuliwa kama data nyeti bila kujali zinaishi wapi."
Zaidi ya Kanuni: Siri Zinasambaa Katika SDLC
Siri zenye msimbo gumu ziko kila mahali, lakini haswa katika sehemu zisizo wazi za usalama kama vile mifumo ya ushirikiano na mazingira ya vyombo ambapo udhibiti wa usalama kwa kawaida ni dhaifu:
- Slack: 2.4% ya vituo ndani ya nafasi za kazi zilizochanganuliwa zina siri zilizovuja
- Jira: 6.1% ya tiketi zilizofichuliwa kitambulisho, na kuifanya chombo cha ushirikiano kilicho hatarini zaidi
- DockerHub: 98% ya siri zilizotambuliwa zilipachikwa katika safu za picha pekee, na zaidi ya funguo 7,000 halali za AWS zimefichuliwa kwa sasa.
Mgogoro wa Utambulisho Usio wa Binadamu
Vitambulisho visivyo vya binadamu (NHIs)—ikijumuisha funguo za API, akaunti za huduma, na tokeni za otomatiki—sasa ni idadi kubwa zaidi ya vitambulisho vya binadamu katika mashirika mengi. Hata hivyo, vitambulisho hivi mara nyingi hukosa usimamizi na mzunguko sahihi wa mzunguko wa maisha, na hivyo kusababisha udhaifu unaoendelea.
Kiongozi wa usalama katika kampuni ya Fortune 500 alikubali changamoto hii: "Tunalenga kuzungusha siri kila mwaka, lakini utekelezaji ni mgumu katika mazingira yetu yote. Baadhi ya vitambulisho vimesalia bila kubadilika kwa miaka."
Wasimamizi wa Siri: Sio Jibu Kamili
Hata mashirika yanayotumia suluhu za usimamizi wa siri yanasalia kuwa hatarini. Utafiti wa hazina 2,584 za wasimamizi wa siri zinazosaidia kufichua kiwango cha uvujaji wa siri cha 5.1%—mbali na karibu sufuri tunayotarajia. Hii inazidi wastani wa GitHub wa jumla wa 4.6%.
Masuala ya kawaida ni pamoja na:
- Siri zilizotolewa kutoka kwa wasimamizi wa siri na kurekodiwa mahali pengine
- Uthibitishaji usio salama kwa wasimamizi wa siri wanaofichua vitambulisho vya ufikiaji
- Utawala uliogawanyika kwa sababu ya siri kuenea kwa wasimamizi wengi wa siri
Njia ya Mbele: Usalama wa Siri Kamili
Kadiri msimbo unaozalishwa na AI, uendeshaji otomatiki na ukuzaji wa asili wa wingu unavyoharakisha, ripoti inatabiri kwamba siri zitaongezeka tu. Ingawa Ulinzi wa Kusukuma wa GitHub umepunguza uvujaji fulani, huacha mapengo makubwa—haswa na siri za jumla, hazina za kibinafsi, na zana za ushirikiano.
"Kwa CISOs na viongozi wa usalama, lengo si kugundua tu—ni kusuluhisha udhaifu huu kabla haujatumiwa," Eric Fourrier alisema. "Hii inahitaji mbinu ya kina ambayo inajumuisha ugunduzi wa kiotomatiki, ugunduzi, urekebishaji, na usimamizi thabiti wa siri kwenye mifumo yote ya biashara."
Ripoti inahitimishwa na mfumo wa kimkakati kwa mashirika kushughulikia siri kupitia:
- Inapeleka ufuatiliaji wa vitambulisho vilivyofichuliwa katika mazingira yote
- Utekelezaji wa ugunduzi wa siri za kati na urekebishaji
- Kuanzisha sera za mzunguko nusu otomatiki kwa vitambulisho vyote
- Kuunda miongozo ya wazi ya msanidi kwa matumizi salama ya vault
Ili kusoma Ripoti kamili ya Hali ya Siri ya 2025, watumiaji wanaweza kutembelea
Rasilimali za ziada
Kuhusu GitGuardian
Mbinu hii ya aina mbili huwezesha ugunduzi wa siri zilizoathiriwa katika mazingira yako yote ya usanidi huku pia ikidhibiti vitambulisho visivyo vya kibinadamu na mizunguko ya maisha ya siri zao. Jukwaa hili ndilo programu iliyosakinishwa zaidi ya GitHub ulimwenguni na inaauni zaidi ya aina 450+ za siri, inatoa ufuatiliaji wa umma kwa data iliyovuja, na kusambaza ishara za asali kwa ulinzi zaidi. Inaaminiwa na zaidi ya wasanidi programu 600,000, GitGuardian ni chaguo la mashirika yanayoongoza kama Snowflake, ING, BASF, na Bouygues Telecom kwa ulinzi thabiti wa siri.
Wasiliana
Mawasiliano ya Vyombo vya Habari
Holly Hagerman
Unganisha Masoko
+1(801) 373-7888
Hadithi hii ilisambazwa kama toleo la Cybernewswire chini ya Mpango wa Kublogu wa Biashara wa HackerNoon. Pata maelezo zaidi kuhusu programu
