秘密蔓延威脅軟件供應鏈 硬編碼秘密激增67%

2022年檢測到的硬編碼秘密數量比2021年高出67%，公開GitHub提交中就發現了1000萬個新增秘密。以上數據出自GitGuardian的《2023年秘密蔓延狀況》報告。報告顯示，硬編碼秘密和秘密蔓延（在多個不同位置存儲秘密）加速威脅軟件供應鏈安全。

由于常以明文存儲，硬編碼秘密造成了重大安全風險，可方便攻擊者從源代碼中抽取秘密。代碼注入或數據泄露等其他安全漏洞也會無意中披露或暴露硬編碼秘密。

2022：秘密泄露大年

GitGuardian掃描了去年以來的10億多個提交，發現2022里秘密相關的泄露尤其多。1330萬在2022年向GitHub推送了代碼的不同作者中，135萬意外暴露了秘密；同時，5.5‰的提交暴露了至少一個秘密，相比2021年增長了50%。GitGuardian將秘密分為兩類：特定秘密和通用秘密。特定檢測器匹配AWS訪問密鑰或MongoDB數據庫憑證等可識別秘密，特定秘密占了研究中檢出秘密的33%。通用秘密占檢出秘密的67%，通用檢測器匹配公司電子郵件和硬編碼在文件中的密碼等秘密。

2022年捕獲的幾大特定秘密是google_api_key、private_key_rsa、private_key_generic、googlecloud_keys和postgresql_credentials。GitGuardian的研究發現，密碼、高熵秘密和用戶名/密碼對是最常見的通用秘密。報告提到了最近的幾個案例：利用來攻擊Uber和CircleCI的秘密；影響LastPass、微軟、Okta和三星等公司的被盜源代碼存儲庫；影響Android、豐田和Infosys的公開暴露秘密。

硬編碼秘密和秘密蔓延威脅軟件供應鏈

報告指出，硬編碼秘密和秘密蔓延對軟件供應鏈安全造成了重大威脅。“秘密可能經由不止一條途徑暴露，而源代碼這種資產可能很快就被分包商搞丟了，當然，源代碼盜竊也會弄丟源代碼。”報告補充道，暗網上與API秘密共享相關的討論和活動也是個日益嚴重的問題。“圍繞盜賣API密鑰的討論是最近兩年暗網上相對較新的一種現象，我們預計這種現象會繼續發展。”想要通過入侵供應鏈擴大惡意軟件傳播范圍的黑客也討論了源自公開存儲庫的憑證和軸點。

Omdia高級首席分析師Fernando Montenegro向安全媒體CSO透露：“關鍵問題在于，無論是出于安全原因還是基礎設施升級等非安全原因，很難更改都是硬編碼秘密一項非常理想的特性，而硬編碼秘密不僅很難更改，還有可能暴露在任何能接觸到源代碼的人眼前。”這一重大問題可導致攻擊者能利用該信息實施假冒攻擊或者進一步獲取目標環境相關敏感信息。“其后果可能從負面審計結果直到全面基礎設施入侵和大規模數據滲漏。目前，這些秘密常現身于Git等源代碼控制系統中，此類系統又可能進一步擴大秘密的暴露范圍，甚至可能直接暴露在公眾眼前。”

Veracode首席信息安全官Sohail Iqbal同意這種觀點，并表示，硬編碼秘密很容易被盜和暴露，對熟悉秘密的資源構成了內部人威脅。“商業產品中的硬編碼秘密為大規模DDoS攻擊鋪平了道路。不斷增加的大量供應鏈攻擊表明內嵌秘密的持續集成/持續交付（CI/CD）管道面臨極高風險。”

解決硬編碼秘密和秘密蔓延的安全風險

公司必須明白，源代碼是自己最寶貴的資產之一，必須妥善保護。“第一步就是清晰審計公司在秘密方面的安全形勢：這些秘密在何處如何使用的？在哪兒泄露的？如何準備應對最壞情況？類似很多其他安全挑戰，秘密安全防護不佳通常涉及人員、流程和工具三個方面。重視遏制秘密蔓延的公司必須同時在所有這些方面開展工作。”

GitGuardian補充稱，可在各個層級左移硬編碼秘密檢測與緩解，從而構筑貫穿整個開發周期的深度防御。可供使用的策略包括：

● 實時監控集成了本地版本控制系統（VCS）或CI的所有存儲庫的提交和合并/拉取請求。

● 自用預接收檢查加強中央存儲庫防泄露。

● 做好長期規劃：制定策略處理通過歷史分析發現的事件。

● 實施秘密安全冠軍計劃。

Montenegro表示：“設計不使用硬編碼秘密的環境應成為大多數公司的頭等要務。解決方案各不相同，包括秘密管理工具、源代碼審查等。第一步就是從開發人員和安全工程師直到其各自的管理鏈條，公司內部普遍接受硬編碼秘密是個‘必須修復’的安全設計缺陷。