La actual era de la información ha hecho que los secretos sean el activo más precioso, sin embargo, mantener estos secretos se ha vuelto cada vez más difícil. Esto se demuestra en el informe State of Secrets Sprawl de 2023, que muestra un aumento del 67% año tras año en el número de secretos encontrados, con 10 millones de secretos codificados detectados en 2022 solo. Esta alarmante explosión en el secreto sprawl ha destacado la necesidad de tomar acción e importancia del desarrollo de software seguro.
El secreto sprawl se refiere a los secretos que aparecen en texto plano en diversas fuentes, como código fuente, scripts de compilación, infraestructura como código y registros. Aunque estos secretos pueden conectar de forma segura los componentes de las modernas cadenas de suministro de software, su amplia distribución entre desarrolladores, máquinas, aplicaciones y sistemas de infraestructura aumenta el riesgo de fugas.
Dos incidentes de ciberseguridad de alto perfil involucrando a Uber y Toyota han destacado aún más la necesidad de abordar el secreto sprawl y priorizar la seguridad del código. Esta cuestión afecta a desarrolladores de todos los niveles de experiencia, ya que 1 de cada 10 autores de código expuso un secreto en 2022.
Los equipos DevOps ahora deben priorizar la gestión de secretos e invertir en soluciones para detectar y remediar vulnerabilidades potenciales. Los ciberdelincuentes están escaneando activamente los repositorios para encontrar secretos que podrían facilitar los accesos a las aplicaciones, por lo que las organizaciones deben abrazar medidas proactivas para mitigar los riesgos del secreto sprawl.
Invertir en soluciones innovadoras y implementar medidas de seguridad integrales dentro de los ciclos de desarrollo de software ayudará a garantizar que los secretos permanezcan seguros. Las empresas deben priorizar la protección de sus secretos y tomar medidas para asegurar que nuestros secretos permanezcan seguros bajo llave.
Source: Hackernews
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.