英美大部分CISO無法保護公司“秘密”

代碼安全平臺GitGuardian的調研報告表明，大約52%的美國和英國企業首席信息安全官（CISO）無法完全保護好公司秘密。報告指出，盡管美國和英國的秘密管理實踐已具備一定成熟度，但仍有很長的路要走。

大約四分之三的受訪者報告了至少一次秘密泄露。

Sapio Research委托的這項調查研究分析了來自507位IT決策者的回復，受訪對象職務包括IT主管、IT副總裁、CIO、CSO、CISO和網絡安全副總裁等，評估了對DevOps環境暴露秘密所帶來的風險的認識。

GitGuardian網絡安全專家Thomas Segura表示：“每年，GitGuardian都會發布年度《秘密蔓延狀況》報告，呈現公開GitHub上發現的秘密數量的增長。這項新的研究旨在更好地了解業內對該問題的認知，以及安全領導層遇到的阻礙。”

GitGuardian《2023年秘密蔓延狀況》報告于今年早些時候發布，揭示該公司2022年在公開GitHub上檢測到1000萬個源代碼秘密。新研究緊隨這份報告推出，題為《從業者之聲》。

行業警惕被泄秘密

研究顯示，美國和英國的很多IT部門都意識到了秘密暴露的危險。75%的受訪者表示，自己所在公司曾經發生過秘密泄露事件，其中60%承認事件給公司、員工或二者都造成了大麻煩。

暴露的秘密包括API密鑰、用戶名、密碼和加密密鑰等等。遭遇過秘密泄露事件的受訪者中僅10%表示泄露并未影響到公司或其員工。

被問及軟件供應鏈中的關鍵風險點時，58%的受訪者認為“源代碼和存儲庫”是核心風險區域，另外分別有53%和47%的受訪者認為“開源依賴項”和“硬編碼秘密”是問題點。

“存儲庫成為包括秘密在內的安全漏洞集中營是有道理的。”企業戰略集團（ESG）分析師Melinda Marks說道，“得記住，云原生應用安全不僅僅是保護應用中的代碼，還必須保護用來運行和構建應用的一切。持續集成/持續交付（CI/CD）管道及其相關存儲庫讓各團隊能夠快速構建自己的應用和相互協作，極大提升了云原生開發的效率。”

GitGuardian的研究表明，這些數據基本意味著“大多數受訪者將秘密保護視為應用風險管理的關鍵組成部分”。

管理尚未到位

盡管整個行業的秘密管理實踐已具備一定的成熟度，但仍有很長的路要走。安全專業人員目前能在多大程度上防止秘密泄露的問題就引來了各種各樣的回答。雖然近半數（48%） 稱能“在很大程度上”防止此類泄露，但其余受訪者的回答是“某種程度上”或“幾乎不能”。

此外，被問及硬編碼秘密策略時， 27%的受訪者坦陳自己依靠人工審查來檢測硬編碼秘密，表明采用的是過時、低效的秘密管理方法。還有17%的受訪者認為自己不需要秘密檢測，因為已經使用了秘密管理器或秘密保險柜，3%的受訪者承認自己根本沒有策略。

相當一部分（53%）高級安全受訪者也承認，開發團隊內部用明文共享秘密。

“我認為最大的問題就是，開發人員編寫代碼時可能會不小心暴露秘密，又在提交代碼時忘記刪除重要的數據、憑證或秘密開發人員培訓和意識很重要，給他們能夠輕松找出并糾正安全問題的工具也很重要。”Marks稱。

這項研究指出，相較于其他工具，尤其是運行時保護工具，秘密檢測與修復和秘密管理不那么受重視（就投資而言）。38%的受訪者表示計劃投資運行時應用保護工具，但分別只有26%和25%的受訪者表示將在秘密檢測與修復和秘密管理方面投入資金。

不過，GitGuardian的調查結果確實透出了光明的一面：94%的受訪者表示考慮在未來12到18個月里以某方式改進自身秘密保護實踐。

自動化代碼審查和秘密掃描器

Segura表示，可以通過自動化代碼驗證來增強代碼審查，例如運行SAST（靜態分析）、SCA（軟件成分分析）和秘密掃描器。

“秘密掃描器是必須的，因為秘密可能已經被刪除，審查人員看不到，但仍是代碼歷史中的漏洞。”Segura說道。

GitGuardian認為，依靠秘密掃描器可能不足以保護企業。

“沒錯，秘密掃描器確實有所幫助。但秘密更大的問題在于其發布的速度越來越快，規模越來越大。秘密是可隨云原生開發快速鋪開的。所以，這不僅僅是有沒有掃描的問題，而是掃描減少誤報的效果，以及提供上下文推動高效修復，從而降低安全風險的問題。”Marks稱。

研究建議采取預提交措施防止秘密泄露，因為收集被泄秘密的上下文用于確定優先級十分重要，可能會引發摩擦，導致修復變得棘手。