**BOSTON, AEB, 2025eko martxoaren 11/CyberNewsWire/--**GitGuardian-ek, GitHub-en gehien instalatutako aplikazioaren atzean dagoen segurtasun liderrak, gaur argitaratu du bere "2025 State of Secrets Sprawl Report" osoa, tamaina guztietako erakundeak mehatxatzen dituen segurtasun krisi hedatu eta iraunkor bat agerian utziz. Txostenak urtez urte filtratutako sekretuen % 25eko igoera erakusten du, 23,8 milioi kredentzial berri detektatu baitira GitHub publikoan 2024an bakarrik. Enpresen segurtasun-buruentzat kezkagarriena: 2022an filtratutako sekretuen % 70ak aktibo jarraitzen du gaur egun, egunetik egunera arriskutsuagoa den eraso-azalera hedatuz. "Isuritako sekretuen eztanda zibersegurtasuneko mehatxu esanguratsuenetako bat da, baina gutxietsita dagoena", esan du Eric Fourrier-ek, GitGuardian-eko zuzendari nagusiak. "Zero eguneko ustiapen sofistikatuek ez bezala, erasotzaileek ez dute trebetasun aurreratu behar ahultasun horiek ustiatzeko; agerian dagoen kredentzial bakarrak sistema kritikoetarako eta datu sentikorretarako sarbide mugagabea eman dezake." Eric Fourrier-ek 2024ko AEBetako Ogasun Sailaren haustura adierazten du abisu gisa: "BeyondTrust-en API gako bakar batek filtratutako sistema erasotzaileei infiltratu zitzaien erasotzaileei. Milioika segurtasun inbertsioetan saihestu dituen kredentzial baten kasu sinplea". Segurtasun arduradunentzako funtsezko aurkikuntzak Txostenak berehalako arreta eskatzen duten hainbat joera kritiko identifikatzen ditu: The Blind Spot: Generic Secrets GitHub-en Push Protection-ek garatzaileei eredu sekretu ezagunak antzematen laguntzen dien arren, sekretu generikoek —gogor kodetutako pasahitzak, datu-basearen kredentzialak eta autentifikazio-token pertsonalizatuak barne— detektatu diren filtrazio guztien erdia baino gehiago dira orain. Kredentzial hauek eredu estandarizatuak ez dituzte, eta ia ezinezkoa da ohiko tresnekin hautematea. Biltegi pribatuak: segurtasun zentzu faltsua Azterketak egia harrigarri bat erakusten du: eskaneatutako biltegi pribatu guztien % 35ak testu arrunteko sekretu bat zuen gutxienez, biltegi pribatuak seguruak direlako uste arrunta hautsiz: AWS IAM gakoak testu arruntean agertu ziren biltegi pribatuen % 8,17an, publikoetan baino 5 aldiz maizago (% 1,45). Pasahitz orokorrak biltegi pribatuetan ia 3 aldiz gehiago agertu dira (% 24,1) publikoekin alderatuta (% 8,94). MongoDB kredentzialak biltegi publikoetan gehien filtratutako sekretu mota izan ziren (% 18,84). "Kode pribatuen biltegietan filtratutako sekretuak arriskutsu gisa tratatu behar dira", azpimarratu du Eric Fourrierrek. "Segurtasun taldeek aitortu behar dute sekretuak datu sentikor gisa tratatu behar direla, bizilekua edozein dela ere". Beyond Code: sekretuak hedatzen dira SDLC-n zehar Gogor kodetutako sekretuak nonahi daude, baina batez ere segurtasun-puntu itsuetan, hala nola lankidetza-plataformak eta edukiontzi-inguruneetan, non segurtasun-kontrolak normalean ahulagoak diren: Slack: aztertutako lan-eremuetako kanalen % 2,4k filtratutako sekretuak zituzten Jira: sarreren % 6,1ek kredentzialak agerian utzi zituzten, lankidetza-tresna ahulena bihurtuz DockerHub: detektatu diren sekretuen % 98 irudi geruzetan soilik txertatu dira, eta gaur egun baliozko 7.000 AWS gako baino gehiago daude ikusgai. Gizakiaz kanpoko identitate krisia Gizaki ez diren identitateak (NHI) —API gakoak, zerbitzu-kontuak eta automatizazio-tokenak barne— gaur egun giza identitateak ikaragarri gainditzen ditu erakunde gehienetan. Hala eta guztiz ere, kredentzial horiek askotan ez dute bizi-zikloaren kudeaketa eta errotazio egokirik, eta ahultasun iraunkorrak sortzen dituzte. Fortune 500 enpresa bateko segurtasun-buru batek erronka hori onartu zuen: "Urtero sekretuak txandakatzea dugu helburu, baina betearaztea zaila da gure ingurunean. Kredentzial batzuk aldatu gabe mantendu dira urteetan". Secrets Managers: Ez da erantzun osoa Sekretuak kudeatzeko irtenbideak erabiltzen dituzten erakundeek ere ahul jarraitzen dute. Sekretuen kudeatzaileak aprobetxatzen dituzten 2.584 biltegiren azterketak agerian utzi zuen % 5,1eko isurketa-tasa sekretua, aurreikusten dugun ia zerotik urrun. Honek GitHub-eko batez besteko orokorra %4,6 gainditzen du. Arazo arruntak hauek dira: Sekretu-kudeatzaileetatik ateratako sekretuak eta beste nonbait gogor kodetuak Sarbide-kredentzialak erakusten dituzten sekretuen kudeatzaileen autentifikazio segurua Gobernantza zatikatua sekretuak hainbat sekretuen kudeatzaileren artean hedatzen direlako Aurrerako bidea: sekretuen segurtasun osoa AI-k sortutako kodea, automatizazioa eta hodeiko jatorrizko garapena bizkortzen diren heinean, txostenak sekretuak hedatzea areagotu egingo dela aurreikusten du. GitHub-en Push Protection-ek filtrazio batzuk murriztu dituen arren, hutsune handiak uzten ditu, batez ere sekretu generikoekin, biltegi pribatuekin eta lankidetza-tresnekin. "CISO eta segurtasun arduradunentzat, helburua ez da detekzioa soilik, ahultasun horiek ustiatu aurretik konpontzea da", esan zuen Eric Fourrierrek. "Horrek ikuspegi integral bat behar du, aurkikuntza automatikoa, detekzioa, konponketa eta sekretuen gobernantza sendoagoa barne hartzen dituena enpresa-plataforma guztietan". Txostena erakundeek sekretuak zabaltzeari aurre egiteko marko estrategiko batekin bukatzen da: Ageriko kredentzialen monitorizazioa ingurune guztietan zabaltzea Sekretuak detektatzeko eta konpontzeko zentralizatuak ezartzea Erdi-automatizatutako errotazio-politikak ezartzea kredentzial guztientzat Garatzaileen jarraibide argiak sortzea ganga seguru erabiltzeko 2025eko Secrets State of Sprawl Report osoa irakurtzeko, erabiltzaileek bisita dezakete . GitGuardian.com Baliabide osagarriak GitGuardian - Webgunea The State of Secrets Sprawl 2025 GitGuardian-i buruz end-to-end NHI segurtasun-plataforma bat da, softwareak gidatutako erakundeei beren Ez-Giza Identitatearen (NHI) segurtasuna hobetzeko eta industriako estandarrak betetzeko ahalmena ematen diena. Erasotzaileek gero eta gehiago bideratzen dituzte NHIak, hala nola zerbitzu-kontuak eta aplikazioak, GitGuardianek Secrets Security eta NHI Governance integratzen ditu. GitGuardian Ikuspegi bikoitz honek zure garapen-inguruneetan arriskuan dauden sekretuak hautematea ahalbidetzen du, gizakiak ez diren identitateak eta haien sekretuen bizi-zikloak ere kudeatzen ditu. Plataforma munduan gehien instalatutako GitHub aplikazioa da eta 450 sekretu mota baino gehiago onartzen ditu, filtratutako datuen jarraipen publikoa eskaintzen du eta honeytokenak zabaltzen ditu defentsa gehitzeko. 600.000 garatzaile baino gehiagok fidatuta, GitGuardian Snowflake, ING, BASF eta Bouygues Telecom bezalako erakunde nagusien aukera da sekretuak babesteko. Harremanetan jarri Komunikabideen kontaktua Holly Hagerman Konektatu Marketing hollyh@connectmarketing.com +1(801) 373-7888 Istorio hau Cybernewswire-k argitaratu zuen HackerNoon-en Business Blogging Programaren barruan. Lortu informazio gehiago programari buruz hemen
