**BOSTON, SHBA, 11 mars 2025/CyberNewsWire/--**GitGuardian, lideri i sigurisë pas aplikacionit më të instaluar të GitHub, publikoi sot "Raportin e tij gjithëpërfshirës të Zgjerimit të Gjendjes së Sekreteve 2025", duke zbuluar një krizë sigurie të përhapur dhe të vazhdueshme që kërcënon organizatat e të gjitha madhësive. Raporti ekspozon një rritje prej 25% të sekreteve të zbuluara nga viti në vit, me 23.8 milionë kredenciale të reja të zbuluara në GitHub publik vetëm në vitin 2024. Më shqetësuese për drejtuesit e sigurisë së ndërmarrjeve: 70% e sekreteve të zbuluara në 2022 mbeten aktive edhe sot, duke krijuar një sipërfaqe sulmi në zgjerim që bëhet më e rrezikshme çdo ditë që kalon. “Shpërthimi i sekreteve të zbuluara përfaqëson një nga kërcënimet më të rëndësishme por të nënvlerësuara në sigurinë kibernetike”, tha Eric Fourrier, CEO i GitGuardian. "Ndryshe nga shfrytëzimet e sofistikuara të ditës zero, sulmuesit nuk kanë nevojë për aftësi të avancuara për të shfrytëzuar këto dobësi - vetëm një kredenciale e ekspozuar mund të ofrojë akses të pakufizuar në sisteme kritike dhe të dhëna të ndjeshme." Eric Fourrier tregon shkeljen e Departamentit të Thesarit të SHBA-së në vitin 2024 si një paralajmërim: "Një sulm i vetëm i lejuar në PI-së. sistemet qeveritare Ky nuk ishte një sulm i sofistikuar - ishte një rast i thjeshtë i një kredenciali të ekspozuar që anashkaloi miliona investime në siguri. Gjetjet kryesore për drejtuesit e sigurisë Raporti identifikon disa tendenca kritike që kërkojnë vëmendje të menjëhershme: Pika e verbër: Sekretet e përgjithshme Pavarësisht se Mbrojtja Push e GitHub ndihmon zhvilluesit të zbulojnë modele të njohura sekrete, sekretet gjenerike - duke përfshirë fjalëkalimet e koduara, kredencialet e bazës së të dhënave dhe argumentet e personalizuara të vërtetimit - tani përfaqësojnë më shumë se gjysmën e të gjitha rrjedhjeve të zbuluara. Këto kredenciale u mungojnë modele të standardizuara, duke i bërë thuajse të pamundura për t'u zbuluar me mjete konvencionale. Depot private: Një ndjenjë e rreme sigurie Analiza zbulon një të vërtetë befasuese: plot 35% e të gjitha depove private të skanuara përmbanin të paktën një sekret teksti të thjeshtë, duke shkatërruar supozimin e zakonshëm se depot private janë të sigurta: Çelësat AWS IAM u shfaqën në tekst të thjeshtë në 8,17% të depove private—mbi 5× më shpesh sesa në ato publike (1,45%) Fjalëkalimet gjenerike u shfaqën gati 3 herë më shpesh në depot private (24.1%) krahasuar me ato publike (8.94%) Kredencialet MongoDB ishin lloji sekret më i shpeshtë i zbuluar në depot publike (18.84%) “Sekretet e zbuluara në depot e kodeve private duhet të trajtohen si të komprometuara”, theksoi Eric Fourrier. "Ekipet e sigurisë duhet të pranojnë se sekretet duhet të trajtohen si të dhëna të ndjeshme, pavarësisht se ku banojnë." Përtej Kodit: Sekretet përhapen në të gjithë SDLC Sekretet e koduara janë kudo, por veçanërisht në pikat e verbëra të sigurisë si platformat e bashkëpunimit dhe mjediset e kontejnerëve ku kontrollet e sigurisë janë zakonisht më të dobëta: Plogështi: 2.4% e kanaleve brenda hapësirave të analizuara të punës përmbanin sekrete të zbuluara Jira: 6.1% e biletave ekspozuan kredencialet, duke e bërë atë mjetin më të cenueshëm të bashkëpunimit DockerHub: 98% e sekreteve të zbuluara ishin ngulitur ekskluzivisht në shtresat e imazhit, me mbi 7000 çelësa të vlefshëm AWS të ekspozuar aktualisht Kriza e identitetit jo-njerëzor Identitetet jo-njerëzore (NHI) - duke përfshirë çelësat API, llogaritë e shërbimit dhe shenjat e automatizimit - tani janë shumë më të mëdha se identitetet njerëzore në shumicën e organizatave. Sidoqoftë, këtyre kredencialeve shpesh u mungon menaxhimi dhe rrotullimi i duhur i ciklit jetësor, duke krijuar dobësi të vazhdueshme. Një drejtues sigurie në një kompani të Fortune 500 e pranoi këtë sfidë: "Ne synojmë të rrotullojmë sekretet çdo vit, por zbatimi është i vështirë në të gjithë mjedisin tonë. Disa kredenciale kanë mbetur të pandryshuara për vite." Menaxherët e sekreteve: Jo një përgjigje e plotë Edhe organizatat që përdorin zgjidhje të menaxhimit të sekreteve mbeten të pambrojtura. Një studim i 2,584 depove që përdorin menaxherët e sekreteve zbuloi një normë rrjedhjeje sekrete prej 5.1% — larg nga afër zeros që parashikojmë. Kjo tejkalon mesataren e përgjithshme të GitHub prej 4.6%. Çështjet e zakonshme përfshijnë: Sekretet e nxjerra nga menaxherët e sekreteve dhe të koduara diku tjetër Vërtetim i pasigurt për menaxherët e sekreteve që ekspozojnë kredencialet e aksesit Qeverisja e fragmentuar për shkak të sekreteve përhapet në shumë menaxherë sekretesh Rruga përpara: Siguria Gjithëpërfshirëse e Sekreteve Ndërsa kodi i gjeneruar nga AI, automatizimi dhe zhvillimi vendas i cloud-it përshpejtohen, raporti parashikon që përhapja e sekreteve vetëm do të intensifikohet. Ndërsa Mbrojtja Push e GitHub ka reduktuar disa rrjedhje, ajo lë boshllëqe të konsiderueshme - veçanërisht me sekretet gjenerike, depot private dhe mjetet e bashkëpunimit. "Për CISO-të dhe drejtuesit e sigurisë, qëllimi nuk është vetëm zbulimi - është korrigjimi i këtyre dobësive përpara se ato të shfrytëzohen," tha Eric Fourrier. "Kjo kërkon një qasje gjithëpërfshirëse që përfshin zbulimin e automatizuar, zbulimin, korrigjimin dhe qeverisjen më të fortë të sekreteve në të gjitha platformat e ndërmarrjeve." Raporti përfundon me një kornizë strategjike për organizatat për të trajtuar përhapjen e sekreteve përmes: Vendosja e monitorimit për kredencialet e ekspozuara në të gjitha mjediset Zbatimi i zbulimit dhe korrigjimit të centralizuar të sekreteve Vendosja e politikave gjysmë të automatizuara të rrotullimit për të gjitha kredencialet Krijimi i udhëzimeve të qarta të zhvilluesve për përdorim të sigurt të kasafortës Për të lexuar Raportin e plotë të Gjendjes së Sekreteve 2025, përdoruesit mund ta vizitojnë . GitGuardian.com Burime shtesë GitGuardian - Faqja e internetit Shtrirja e Gjendjes së Sekreteve 2025 Rreth GitGuardian është një platformë sigurie nga fundi në fund i NHI që fuqizon organizatat e drejtuara nga softuerët për të rritur sigurinë e tyre të identitetit jo-njerëzor (NHI) dhe në përputhje me standardet e industrisë. Me sulmuesit që synojnë gjithnjë e më shumë NHI-të, të tilla si llogaritë e shërbimit dhe aplikacionet, GitGuardian integron Secrets Security dhe NHI Governance. GitGuardian Kjo qasje e dyfishtë mundëson zbulimin e sekreteve të komprometuara në mjediset tuaja të zhvilluesit duke menaxhuar gjithashtu identitetet jo-njerëzore dhe ciklet e jetës së sekreteve të tyre. Platforma është aplikacioni GitHub më i instaluar në botë dhe mbështet mbi 450+ lloje sekretesh, ofron monitorim publik për të dhënat e rrjedhura dhe vendos honeytokens për mbrojtje shtesë. I besuar nga mbi 600,000 zhvillues, GitGuardian është zgjedhja e organizatave kryesore si Snowflake, ING, BASF dhe Bouygues Telecom për mbrojtje të fuqishme të sekreteve. Kontaktoni Kontakti i medias Holly Hagerman Lidhni marketingun hollyh@connectmarketing.com +1 (801) 373-7888 Kjo histori u shpërnda si një publikim nga Cybernewswire nën Programin e Blogimit të Biznesit të HackerNoon. Mësoni më shumë rreth programit këtu
