敏感數據泄露事件持續上升

3月3日，GitGuardian發布報告稱，2021年企業泄露了超過600萬個密碼、API密鑰和其他敏感數據（統稱開發“秘密”），泄密量是上一年的兩倍。報告表明，推送到存儲庫的代碼有所增加，并且可用的檢測功能也更強大了。

GitGuardian發現，平均而言，2021年每1000個GitHub提交就有3個泄露秘密，這一頻率比2020年高出50%。超過一半的秘密包含訪問數據存儲服務、云提供商、私有加密密鑰或開發工具所需的憑證，另外10%則含有用于消息傳遞系統和版本控制平臺的憑據。

GitGuardian開發人員倡導者Mackenzie Jackson表示，敏感訪問信息泄露給潛在的攻擊者會破壞公司網絡和基礎設施的安全性。GitGuardian稱，此處的“秘密”一詞指的是“授予服務、系統和數據訪問權限”的任何數字身份驗證憑證，包括API密鑰、應用或服務憑證，以及安全證書。

Jackson表示：“幾乎所有攻擊都會以某種方式用到秘密，或許沒用作初始訪問，但肯定會用來提升攻擊者的權限和登入其他系統。老實說，看到秘密泄露急劇增長，我們倍感驚訝。但歸根結底，這一情況顯然是開發人員處理的技術越來越多和遠程辦公等其他因素共同作用的結果。”

2021年里，多起重大數據泄露事件都涉及到秘密泄露問題。代碼檢查公司CodeCov創建Docker映像的方式存在漏洞，攻擊者利用了這個漏洞，將上傳工具修改為也給攻擊者發送訪問憑證，令數百家公司的開發流程面臨遭到破壞的風險。而在另一起數據泄露事件中，攻擊者泄露了游戲流媒體網站Twitch的源代碼，暴露了6000多個Git存儲庫和300萬份文檔，并泄露了6600多個可能造成更多數據泄露的開發秘密。

秘密泄露問題嚴重

根據GitGuardian的報告，總體而言，擁有400名開發人員的公司掃描其存儲庫時可能會發現代碼中遺留有1050個秘密。GitGuardian強調，應用安全（AppSec）人員負責確保開發項目的安全，找出并修復泄露秘密的任務超出了他們的能力范圍。平均而言，公司里每位應用工程師都得處理3400多個泄露的秘密。

“這確實是一項不可能完成的任務，他們被這個問題完全淹沒了。要解決這個問題，開發人員也必須挑起一部分擔子，我們得給開發人員提供工具，還要開展安全教育。”

GitGuardian今年將公共Docker映像和企業私有存儲庫也納入了分析范圍。此外，該公司用于檢測秘密的模式也從2020年的250種增加到了350種。很多開發人員不太注意私有存儲庫的秘密管理，覺得即使暴露了也不會造成秘密被公開。然而，代碼總會蔓延到公司各個角落的。

“現實是，代碼會進入你的私有存儲庫，然后被克隆到所有開發人員的機器上，可能是他們的個人電腦，也可能是他們的工作電腦，然后通過各種消息傳遞系統共享。于是，我們很容易就無法掌握這些代碼都跑到哪里了。”

GitGuardian的報告揭示，絕大多數網絡安全事件都涉及私有存儲庫泄露，例如，泄露的Azure云訪問憑證中有85%都是從私有存儲庫泄出的。

個人項目影響企業

這份報告的另一個有趣發現是，開發人員在周末和公共假日泄露的秘密最多，這表明他們不太重視自己個人項目的安全，或者對個人項目執行的安全檢查比較少。

然而，個人項目泄露仍會置公司安全于風險之下。

“從某種意義上說，GitHub十分特別，如果你在GitHub.com上擁有個人賬戶，且你所在公司也在用GitHub，那你就可以公私共用同一個賬戶，從此辦公開發和個人開發就分不清了。所以，我們經常看到企業密鑰從個人git存儲庫中流出。”

GitGuardian在報告中建議，公司應將開發人員更密切地納入到應用安全維護工作當中來，并設立責任共擔模型。相比應用安全人員獨力承擔安全維護工作，納入開發人員可以多解決72%的事件，且修復速度能夠翻倍。

報告指出：“通過將漏洞掃描集成到開發工作流程，安全便不再成為瓶頸：你可以幫助開發人員盡早捕獲漏洞，大幅降低修復成本。對蔓延非常敏感的秘密檢測則更是如此。”