**BOSTON, USA, ika-11 ng Marso, 2025/CyberNewsWire/--**GitGuardian, ang pinuno ng seguridad sa likod ng pinakanaka-install na application ng GitHub, ngayon ay naglabas ng komprehensibong "2025 State of Secrets Sprawl Report," na nagpapakita ng malawak at patuloy na krisis sa seguridad na nagbabanta sa mga organisasyon sa lahat ng laki. Ang ulat ay naglalantad ng 25% na pagtaas sa mga na-leak na sikreto taon-taon, na may 23.8 milyong bagong kredensyal na nakita sa pampublikong GitHub noong 2024 lamang. Pinaka-aalala para sa mga pinuno ng seguridad ng enterprise: 70% ng mga sikretong na-leak noong 2022 ay nananatiling aktibo ngayon, na lumilikha ng lumalawak na pag-atake na nagiging mas mapanganib sa bawat araw na lumilipas.  "Ang pagsabog ng mga leaked na sikreto ay kumakatawan sa isa sa pinakamahalaga ngunit minamaliit na banta sa cybersecurity," sabi ni Eric Fourrier, CEO ng GitGuardian. "Hindi tulad ng mga sopistikadong pagsasamantala sa zero-day, hindi kailangan ng mga umaatake ang mga advanced na kasanayan upang samantalahin ang mga kahinaan na ito—isang nakalantad na kredensyal lang ang makakapagbigay ng walang limitasyong pag-access sa mga kritikal na sistema at sensitibong data." Itinuro ni Eric Fourrier ang paglabag sa US Treasury Department noong 2024 bilang isang babala: "Isang nag-leak na API key mula sa BeyondTrust na pinahintulutan ang mga attacker ng gobyerno. ay isang simpleng kaso ng isang nakalantad na kredensyal na nalampasan ang milyon-milyong mga pamumuhunan sa seguridad."  Mga Pangunahing Natuklasan para sa Mga Pinuno ng Seguridad  Tinutukoy ng ulat ang ilang kritikal na uso na nangangailangan ng agarang atensyon:  Ang Blind Spot: Mga Generic na Lihim  Sa kabila ng Push Protection ng GitHub na tumutulong sa mga developer na matukoy ang mga kilalang sikretong pattern, mga generic na sikreto—kabilang ang mga hardcoded na password, mga kredensyal sa database, at custom na mga token sa pagpapatotoo—ngayon ay kumakatawan sa higit sa kalahati ng lahat ng nakitang paglabas. Ang mga kredensyal na ito ay walang mga standardized na pattern, na ginagawang halos imposibleng matukoy ang mga ito gamit ang mga kumbensyonal na tool.  Mga Pribadong Repositori: Isang Maling Pananaw ng Seguridad  Ang pagsusuri ay nagpapakita ng isang nakagugulat na katotohanan: isang buong 35% ng lahat ng pribadong repositoryo na na-scan ay naglalaman ng hindi bababa sa isang plaintext na sikreto, na sumisira sa karaniwang pagpapalagay na ang mga pribadong repositoryo ay ligtas:  Ang mga AWS IAM key ay lumabas sa plaintext sa 8.17% ng mga pribadong repositoryo—mahigit sa 5x na mas madalas kaysa sa mga pampublikong (1.45%)  Ang mga generic na password ay lumitaw nang halos 3x na mas madalas sa mga pribadong repositoryo (24.1%) kumpara sa mga pampubliko (8.94%)  Ang mga kredensyal ng MongoDB ay ang pinakamadalas na na-leak na sikretong uri sa mga pampublikong repositoryo (18.84%)  "Ang mga na-leak na lihim sa mga pribadong imbakan ng code ay dapat ituring bilang nakompromiso," diin ni Eric Fourrier. "Dapat kilalanin ng mga security team na ang mga lihim ay dapat ituring bilang sensitibong data saanman sila nakatira."  Higit pa sa Code: Ang mga Lihim na Kumakalat sa SDLC  Ang mga naka-hardcode na lihim ay nasa lahat ng dako, ngunit lalo na sa mga blind spot ng seguridad tulad ng mga platform ng pakikipagtulungan at mga container na kapaligiran kung saan ang mga kontrol sa seguridad ay karaniwang mas mahina:  Slack: 2.4% ng mga channel sa loob ng nasuri na mga workspace ay naglalaman ng mga leaked na lihim  Jira: 6.1% ng mga tiket ang naglantad ng mga kredensyal, ginagawa itong pinaka-mahina na tool sa pakikipagtulungan  DockerHub: 98% ng mga natukoy na lihim ay eksklusibong naka-embed sa mga layer ng larawan, na may higit sa 7,000 wastong AWS key na kasalukuyang nakalantad  Ang Non-Human Identity Crisis  Mga non-human identity (NHIs)—kabilang ang mga API key, service account, at automation token—na ngayon ay higit na mas marami kaysa sa mga pagkakakilanlan ng tao sa karamihan ng mga organisasyon. Gayunpaman, ang mga kredensyal na ito ay kadalasang kulang sa wastong pamamahala at pag-ikot ng lifecycle, na lumilikha ng patuloy na mga kahinaan.  Kinilala ng isang pinuno ng seguridad sa isang kumpanya ng Fortune 500 ang hamon na ito: "Layunin naming paikutin ang mga lihim taun-taon, ngunit mahirap ang pagpapatupad sa aming kapaligiran. Ang ilang mga kredensyal ay nanatiling hindi nagbabago sa loob ng maraming taon."  Mga Tagapamahala ng Lihim: Hindi Kumpletong Sagot  Kahit na ang mga organisasyong gumagamit ng mga solusyon sa pamamahala ng mga lihim ay nananatiling mahina. Ang isang pag-aaral sa 2,584 na mga repository na gumagamit ng mga sikretong tagapamahala ay nagsiwalat ng 5.1% na sikretong rate ng pagtagas —malayo sa halos zero na inaasahan namin. Nahigitan nito ang pangkalahatang average ng GitHub na 4.6%.  Kasama sa mga karaniwang isyu ang:  Mga lihim na nakuha mula sa mga tagapamahala ng mga lihim at na-hardcode sa ibang lugar  Hindi secure na pagpapatotoo sa mga sikretong tagapamahala na naglalantad ng mga kredensyal sa pag-access  Ang pira-pirasong pamamahala dahil sa mga lihim na kumakalat sa maraming tagapamahala ng lihim  The Path Forward: Comprehensive Secrets Security  Habang bumibilis ang AI-generated code, automation, at cloud-native development, hinuhulaan ng ulat na ang mga lihim ay lalakas lamang. Bagama't binawasan ng Push Protection ng GitHub ang ilang paglabas, nag-iiwan ito ng malalaking gaps—lalo na sa mga generic na lihim, pribadong repositoryo, at mga tool sa pakikipagtulungan.  "Para sa mga CISO at pinuno ng seguridad, ang layunin ay hindi lamang pagtuklas—ito ay ang remediation ng mga kahinaang ito bago sila pinagsamantalahan," sabi ni Eric Fourrier. "Nangangailangan ito ng komprehensibong diskarte na kinabibilangan ng awtomatikong pagtuklas, pagtuklas, remediation, at mas malakas na pamamahala ng mga lihim sa lahat ng platform ng enterprise."  Ang ulat ay nagtatapos sa isang estratehikong balangkas para sa mga organisasyon upang matugunan ang mga lihim na kumakalat sa pamamagitan ng:  Pag-deploy ng pagsubaybay para sa mga nakalantad na kredensyal sa lahat ng kapaligiran  Pagpapatupad ng sentralisadong pagtuklas ng mga lihim at remediation  Pagtatatag ng semi-automated na mga patakaran sa pag-ikot para sa lahat ng mga kredensyal  Paglikha ng malinaw na mga alituntunin ng developer para sa secure na paggamit ng vault  Upang basahin ang buong 2025 State of Secrets Sprawl Report, maaaring bumisita ang mga user  .   GitGuardian.com  Mga karagdagang mapagkukunan   GitGuardian - Website   The State of Secrets Sprawl 2025  Tungkol sa GitGuardian  ay isang end-to-end na platform ng seguridad ng NHI na nagbibigay ng kapangyarihan sa mga organisasyong hinimok ng software na pahusayin ang kanilang seguridad na Non-Human Identity (NHI) at sumunod sa mga pamantayan ng industriya. Sa mga umaatake na lalong tuma-target sa mga NHI, gaya ng mga account ng serbisyo at application, isinasama ng GitGuardian ang Secrets Security at NHI Governance.   GitGuardian  Ang dalawahang diskarte na ito ay nagbibigay-daan sa pagtuklas ng mga nakompromisong sikreto sa iyong mga dev environment habang pinamamahalaan din ang mga pagkakakilanlan na hindi tao at ang mga lifecycle ng kanilang mga lihim. Ang platform ay ang pinakana-install na GitHub application sa buong mundo at sumusuporta sa higit sa 450+ uri ng mga lihim, nag-aalok ng pampublikong pagsubaybay para sa leaked data, at nag-deploy ng mga honeytokens para sa karagdagang depensa. Pinagkakatiwalaan ng mahigit 600,000 developer, ang GitGuardian ay ang pagpipilian ng mga nangungunang organisasyon tulad ng Snowflake, ING, BASF, at Bouygues Telecom para sa matatag na proteksyon ng mga lihim.  Makipag-ugnayan  Contact sa Media  Holly Hagerman  Ikonekta ang Marketing  hollyh@connectmarketing.com  +1(801) 373-7888  Ang kwentong ito ay ipinamahagi bilang isang release ng Cybernewswire sa ilalim ng Business Blogging Program ng HackerNoon. Matuto pa tungkol sa programa   dito

This is a PR written by or for the company mentioned within it. The writer has a vested interest in the company and products mentioned within.

Sign Up for Free

Book A Demo

Check Pricing

Visit Website

Ang audio na ito ay ginawa sa orihinal na wika ng kuwento!

Ulat ng GitGuardian: 70% Ng Mga Na-leak na Lihim ay Nananatiling Aktibo Sa loob ng Dalawang Taon, Hinihimok ang Agarang Remediation

About Author

MGA KOMENTO

HANG TAGS

ANG ARTIKULONG ITO AY IPINAKITA SA

Related Stories

State of the Noonion: The Year of Profitability and Product Renaissance

Encrypted Instant Messaging Recommendations January 2017

Hosting a DNS domain on the blockchain

COVID-19: We Need More Than Data, We Need Insights!

State of the Noonion: The Year of Profitability and Product Renaissance

Encrypted Instant Messaging Recommendations January 2017

Hosting a DNS domain on the blockchain

COVID-19: We Need More Than Data, We Need Insights!

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps