В нынешнюю информационную эпоху, секреты стали ценным активом, однако их защита стала более сложной задачей. Это демонстрируется в отчете 2023 года о состоянии распространения секретов, который показал увеличение на 67% по сравнению с прошлым годом в количестве обнаруженных секретов, с 10 миллионами зашифрованных секретов, обнаруженных только в 2022 году. Это увеличение распространения секретов подчеркивает необходимость для организаций принять меры и приоритизировать безопасную разработку программного обеспечения.
Распространение секретов – это наличие секретов в открытом тексте в различных источниках, таких как исходный код, сценарии сборки, инфраструктура как код и журналы. Хотя эти секреты могут безопасно соединять компоненты современных цепочек поставок программного обеспечения, их широкое распространение среди разработчиков, машин, приложений и систем инфраструктуры увеличивает риск утечек.
Высокопрофильные инциденты в области кибербезопасности, связанные с Uber и Toyota, дополнительно подчеркнули необходимость решить проблему распространения секретов и приоритизировать безопасность кода. Эта проблема затрагивает разработчиков всех уровней опыта, поскольку 1 из каждых 10 авторов кода раскрыл секрет в 2022 году.
Для защиты своих секретов командам DevOps необходимо инвестировать в решения для обнаружения и устранения потенциальных уязвимостей. Киберпреступники активно сканируют репозитории, чтобы найти секреты, которые могут облегчить нарушение безопасности приложений, поэтому организации должны принимать проактивные меры для снижения рисков, связанных с распространением секретов.
Инвестиции в инновационные решения и внедрение мер безопасности от начала и до конца в жизненные циклы разработки программного обеспечения помогут обеспечить безопасность секретов. Компании должны приоритизировать защиту своих секретов и принимать меры для обеспечения их безопасного хранения.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.