GitHub大數據：10%的程序員泄密

GitGuardian近日掃描了2022年GitHub的10億次代碼提交（較2021年增長20%），結果發現了1000萬條機密信息，較2021年增長了67%。此外，調查結果還顯示，10%的程序員（GitHub代碼提交者）都泄露了至少一條機密信息。

機密泄露與能力無關

人們普遍認為GitHub代碼庫中硬編碼的機密主要由初級開發人員提交，這是一種誤解。事實上，任何開發人員，無論他們的經驗水平或資歷如何，都可能會犯同樣的錯誤。

通常，產生硬編碼機密的原因是貪圖便利，而不是由于知識或能力的不足。高級開發人員可能需要經常測試數據庫連接或端點，他們面臨著快速完成任務以滿足業務需求的巨大壓力。

硬編碼的機密信息通常包含賬戶憑據，可以用來（以較高權限）訪問現代軟件供應鏈的各種組件，從代碼到云。因此，開發賬戶憑證已成為攻擊者最夢寐以求的信息。盡管如此，2022年發生的多起數據泄露事件表明，業界對開發賬戶憑證的防護明顯不足。

報告指出：云服務商密鑰的泄露正在增長，但有一個積極因素來自亞馬遜AWS，后者正在掃描GitHub以查找其憑據，并隔離已泄露憑據。這種做法顯著縮短了AWS憑證在GitHub上的暴露事件，值得在業界推廣。

黑客如何利用機密

最近的兩個案例說明了黑客如何在攻擊中利用泄露的機密：

• Uber。一名攻擊者入侵了Uber，并使用（GitHub上找到的）硬編碼的管理員憑據登錄了該公司的特權訪問管理平臺Thycotic。他們對幾個內部工具和生產力應用程序進行了全面帳戶接管。
• CircleCI。攻擊者利用部署到CircleCI工程師筆記本電腦上的惡意軟件來竊取有效的、由2FA支持的SSO會話，進而泄露客戶數據，包括客戶環境變量、令牌和密鑰。

解決問題需要三管齊下

對GitHub的實時監控顯示，超過80%的公開泄露的機密存在于開發人員的個人代碼倉庫中，其中相當一部分實際上屬于公司機密。

導致這種情況的原因有很多，也不能排除個別人員的惡意行為，包括劫持公司資源和其他陰暗動機。但總的來說，絕大多數在GitHub公開泄露的機密都是由于人為錯誤（配置）。

與其他安全問題一樣，糟糕的代碼機密管理與人員、流程和工具三要素有關。如果企業打算有效地解決該問題，就必須“三管齊下”。