**БОСТОН, САД, 11 март 2025 година/CyberNewsWire/--**GitGuardian, безбедносниот лидер зад најинсталираната апликација на GitHub, денес го објави својот сеопфатен „Извештај за ширење на состојбата на тајните во 2025 година“, откривајќи широко распространета и постојана безбедносна криза што им се заканува на организации од сите големини. Извештајот открива зголемување од 25% на откриените тајни од година во година, со 23,8 милиони нови акредитиви откриени на јавниот GitHub само во 2024 година. Најзагрижувачки за лидерите на безбедноста на претпријатијата: 70% од тајните објавени во 2022 година остануваат активни и денес, создавајќи проширена површина за напад што станува поопасна со секој изминат ден. „Експлозијата на откриени тајни претставува една од најзначајните, но сепак потценети закани за сајбер безбедноста“, рече Ерик Фуриер, извршен директор на GitGuardian. „За разлика од софистицираните нула-ден експлоатирања, на напаѓачите не им требаат напредни вештини за да ги искористат овие пропусти - само една изложена акредитивност може да обезбеди неограничен пристап до критичните системи и до чувствителните податоци“. владини системи Ова не беше софистициран напад - тоа беше едноставен случај на разоткриена акредитација која заобиколи милиони безбедносни инвестиции. Клучни наоди за безбедносните лидери Извештајот идентификува неколку критични трендови кои бараат итно внимание: Слепата точка: генерички тајни И покрај тоа што GitHub's Push Protection им помага на програмерите да ги откријат познатите тајни обрасци, генеричките тајни - вклучително хардкодирани лозинки, акредитации на базата на податоци и сопствени токени за автентикација - сега претставуваат повеќе од половина од сите откриени протекувања. Овие акредитиви немаат стандардизирани обрасци, што го прави речиси невозможно да се откријат со конвенционални алатки. Приватни складишта: Лажно чувство за безбедност Анализата открива запрепастувачка вистина: цели 35% од сите скенирани приватни складишта содржеле барем една тајна на чист текст, со што ја разбива вообичаената претпоставка дека приватните складишта се безбедни: AWS IAM клучевите се појавија во обичен текст во 8,17% од приватните складишта - преку 5× почесто отколку во јавните (1,45%) Генеричките лозинки се појавуваат речиси 3 пати почесто во приватните складишта (24,1%) во споредба со јавните (8,94%) Ингеренциите на MongoDB беа најчестиот тип на тајна во јавните складишта (18,84%) „Откриените тајни во приватните складишта за кодови мора да се третираат како компромитирани“, нагласи Ерик Фуриер. „Безбедносните тимови мора да признаат дека тајните треба да се третираат како чувствителни податоци без разлика каде живеат. Надвор од кодот: Тајните се шират низ SDLC Хардкодираните тајни се насекаде, но особено во безбедносните слепи точки како што се платформите за соработка и околините со контејнери каде што безбедносните контроли се обично послаби: Лабаво: 2,4% од каналите во анализираните работни простори содржеле протечени тајни Jira: 6,1% од билетите ги изложија ингеренциите, што ја прави најранлива алатка за соработка DockerHub: 98% од откриените тајни беа вградени исклучиво во слоеви на слики, со над 7.000 валидни AWS клучеви моментално изложени Кризата на нечовечки идентитет Не-човечки идентитети (NHI) - вклучувајќи клучеви API, сметки за услуги и токени за автоматизација - сега значително ги надминуваат човечките идентитети во повеќето организации. Сепак, овие акредитиви често немаат соодветно управување со животниот циклус и ротација, што создава постојани пропусти. Еден лидер за безбедност во компанија од Fortune 500 го призна овој предизвик: „Ние имаме за цел да ги ротираме тајните годишно, но спроведувањето е тешко во нашата околина. Некои ингеренции останаа непроменети со години“. Менаџери на тајни: Не е целосен одговор Дури и организациите кои користат решенија за управување со тајните остануваат ранливи. Студијата на 2.584 складишта кои користат менаџери на тајни откри стапка на истекување на тајни од 5,1% - далеку од речиси нулата што ја очекуваме. Ова го надминува вкупниот просек на GitHub од 4,6%. Вообичаени проблеми вклучуваат: Тајните извлечени од менаџерите на тајните и хардкодирани на друго место Небезбедна автентикација на тајните менаџери кои ги откриваат акредитивите за пристап Фрагментираното управување поради тајните се шири низ повеќе менаџери со тајни Патот напред: Сеопфатна безбедност на тајните Како што се забрзуваат кодот генериран од вештачка интелигенција, автоматизацијата и развојот на мајчин облак, извештајот предвидува дека ширењето на тајните само ќе се интензивира. Додека GitHub's Push Protection намали некои протекувања, таа остава значителни празнини - особено со генеричките тајни, приватните складишта и алатките за соработка. „За CISO и лидерите за безбедност, целта не е само откривање - тоа е санација на овие слабости пред да бидат искористени“, рече Ерик Фуриер. „Ова бара сеопфатен пристап кој вклучува автоматско откривање, откривање, санирање и посилно управување со тајните на сите платформи на претпријатијата“. Извештајот завршува со стратешка рамка за организациите за справување со тајните што се прошируваат преку: Распоредување на мониторинг за изложени акредитиви низ сите средини Спроведување на централизирано откривање и отстранување на тајните Воспоставување на полуавтоматски политики за ротација за сите ингеренции Создавање јасни упатства за програмери за безбедно користење на сефот За да го прочитате целосниот Извештај за ширење на состојбата на тајните за 2025 година, корисниците можат да го посетат . GitGuardian.com Дополнителни ресурси GitGuardian - веб-страница Растегнување на состојбата на тајните 2025 година За GitGuardian е безбедносна платформа NHI од крај до крај која им дава овластување на организациите управувани од софтвер да ја подобрат својата безбедност на не-човечки идентитет (NHI) и да се усогласат со индустриските стандарди. Со оглед на тоа што напаѓачите сè повеќе ги таргетираат NHI, како што се сметки за услуги и апликации, GitGuardian ги интегрира Secrets Security и NHI Governance. GitGuardian Овој двоен пристап овозможува откривање на компромитирани тајни низ опкружувањата на вашиот развој, а исто така управува со нечовечки идентитети и животниот циклус на нивните тајни. Платформата е најинсталираната апликација GitHub во светот и поддржува над 450+ видови тајни, нуди јавен мониторинг за протечените податоци и распоредува honeytokens за дополнителна одбрана. На кој му веруваат над 600.000 програмери, GitGuardian е изборот на водечките организации како Snowflake, ING, BASF и Bouygues Telecom за силна заштита на тајните. Контакт Контакт за медиуми Холи Хагерман Поврзете го маркетингот hollyh@connectmarketing.com +1 (801) 373-7888 Оваа приказна беше дистрибуирана како издание од Cybernewswire во рамките на Програмата за деловно блогирање на HackerNoon. Дознајте повеќе за програмата овде
