代碼、憑證和密鑰泄露導致企業每年平均損失120萬美元

約60%的調查受訪者稱，其公司處理的是泄露的API令牌、SSH密鑰和私有證書。

1Password發布報告稱，企業每年都會因泄露基礎設施代碼、憑證和密鑰而損失數百萬美元。 

1Password的報告題為《藏于明處》（Hiding in Plain Sight），指出企業因秘密資料被泄而遭遇的損失高達平均每年120萬美元。研究人員發現，為了便于訪問和快速推進項目，IT和DevOps人員會在配置文件或源代碼中留下API令牌、SSH密鑰和私有證書等基礎設施秘密。

報告突出了來自1Password研究人員的分析和2021年4月針對美國500位IT和DevOps人員的調查研究。其中10%的受訪者經歷了秘密泄露事件，其公司損失了超過500萬美元。超過60%的受訪者稱其公司應對過秘密泄露事件。 

除了金錢損失，40%的受訪者表示自家公司遭遇了品牌信譽傷害，29%稱因秘密被泄而流失了客戶。 

根據這份報告和相應的調查，65%的IT和DevOps工作人員稱公司擁有500多份秘密，而近20%宣稱秘密多到無法統計。 

員工每天都要花費約25分鐘時間管理這些秘密，超過一半的受訪者表示該數字去年出現了大幅上升。 

超過61%的受訪者稱，由于公司無法有效管理自身秘密，多個項目被迫延期。 

值得警惕的是，77%的受訪者表示自己仍可訪問前雇主的系統，37%的受訪者則稱自己擁有完整權限，凸顯出了秘密持續泄露的主要原因。 

秘密泄露的另一因素是云應用的普及，52%的IT和DevOps員工稱云應用增加了管理秘密的難度。 

但IT和DevOps員工承認了一些責任，其中80%稱未能很好地履行管理秘密的職責。約25%表示自家公司的秘密存放在十個以上的位置。 

IT和DevOps員工還承認了通過電子郵件（59%）、Slack(40%)、電子表格/共享文檔（36%）和文本（26%）等不那么安全的信道共享公司的秘密信息。 

幾乎所有受訪者都表示公司設置了管理秘密的策略，但只有不到40%的受訪者稱該策略是強制實施的。這個問題在公司領導中間尤為突出。超過62%的受訪者稱，團隊領導、經理、副總裁和其他管理層人員因新冠肺炎疫情對工作的要求而忽視了安全規則。  

1Password首席執行官Jeff Shiner表示：“秘密是IT和DevOps的生命線，因為他們必須支持現代企業如今所要求的諸多應用和服務。”

“我們的研究顯示，公司的秘密呈爆發趨勢，但IT和DevOps團隊并沒有達到嚴格的標準來保護秘密，在此過程中，企業面臨著遭遇巨大損失的風險。企業應立即仔細核查自身秘密管理方式，采用恰當的實踐和解決方案來“讓秘密回歸秘密”，從而支持企業安全文化。”