Aqua Security 披露新的研究结果

组合不良编码实践和基于 Git 系统行为导致企业、医疗机构和开源项目的长期秘密敞露
今日，云原生安全先驱 Aqua Security 公布了新的研究成果，显示来自全球组织的凭证、API 令牌和访问密钥（统称为秘密）已经敞露多年。{ width=60% }

---

通过扫描 GitHub 上最受欢迎的 100 个组织，这些组织总共拥有超过 50,000 个可公开访问的仓库，Aqua 的研究人员发现了来自开源组织和企业（如 Cisco 和 Mozilla）的活跃秘密，提供对敏感数据和软件的访问。这些敞露的秘密可能导致显著的财务损失、声誉受损和法律后果。

Aqua Security 的研究团队 Aqua Nautilus 发现，“幻影秘密”可能会在大多数源代码管理系统（SCM）使用的基于 Git 的基础设施中持续存在，这包括 GitHub、Gitlab、Bitbucket 等系统。这是因为即使已删除或更新的代码提交也会在这些系统中保存，因此即使一次性开发人员错误也可能导致经验丰富的威胁行为者在较长时间内暴露秘密。

Aqua Nautilus 的首席安全研究员 Yakir Kadkoda 表示：“我们的发现确实令人担忧，有关软件开发的每个相关人员都必须了解这个问题的严重性。多年来，我们一直在教育开发人员不要在代码中硬编码秘密。现在，事实证明，即使这样做了一次，也会永久暴露该秘密，即使他们认为已经删除或覆盖。敏感数据泄露的影响可能引发未经授权的访问、受损的安全控制以及重大的财务或声誉损失。这将是毁灭性的。”

通过扫描开放的 Github 仓库，发现的暴露的秘密包括 Cisco Meraki 和 Mozilla 项目的 API 令牌。Cisco 安全团队确认了这些发现：“我们发现了一些财富 500 强公司使用的特权 Meraki API 令牌。这些令牌可能允许攻击者访问网络设备、简单网络管理协议秘密、摄像头录像等，为受影响方提供了初始立足点。”Mozilla 项目承认“一个具有读写权限的 Mozilla FuzzManager API 令牌”和“一个员工泄露的用于 sql.telemetry.mozilla.org 的 API 令牌”；这两者都被评为“关键”。FuzzManager 不仅允许访问 Firefox 和 Tor 中许多潜在的安全漏洞，还可以访问与 Mozilla 产品和业务相关的机密信息。

此外，Nautilus 发现一家大型医疗公司的 Azure 服务主体令牌暴露在一个 Git 提交中。这个令牌具有高特权和高访问权限，可获取内部 Azure 容器注册表的凭据，这可能使攻击者执行影响该组织和客户的供应链攻击。

在所有情况下，暴露的秘密立即被吊销。一次提交，永久暴露
尽管安全编码最佳实践已经要求秘密不应该硬编码，但许多开发人员仍然继续这种做法。他们依赖于秘密扫描工具来确保这些秘密不会被推送到生产环境，并经常重新提交已更新的代码而不包含这些秘密。

幻影秘密存在是因为基于 Git 的 SCM 中的底层流程，它导致在仓库中被覆盖或删除的代码仍然可以在底层系统中访问。大多数秘密扫描程序只查看通过 Git clone 命令可访问的仓库，这忽略了几乎 18% 的秘密。

Aqua Security 的首席技术官兼联合创始人 Amir Jerbi 表示：“这些发现再次强调了秘密永远不应该放入代码中，即使是用于测试目的，安全团队必须能够监视这一点。软件供应链被优化为速度和便利，但这不能以牺牲安全工程实践为代价。”

IDC 的研究强调了 Aqua Nautilus 的发现，显示组织在与应用程序秘密保护相关的立场方面过于自信。虽然组织对自己保护秘密的能力表现出高度自信，但在 DevSecOps 工具中，秘密管理解决方案的采用率是最低的。

适用于 8 月份的 Aqua 客户将能够使用软件供应链安全模块防止开发人员提交带有嵌入式秘密的代码，并扫描隐藏在 SCM 文件系统中的幻影秘密。

幻影秘密的研究详细内容将由 Kadkoda 在西雅图的 CloudNativeSecurityCon 会议上介绍，他将在主题为“Below The Radar: Identifying Hidden Threats Within The Development Ecosystem”的会议上发表这一主题。要获取有关幻影秘密如何持久存在以及为什么经常被忽视的全面技术解释，请阅读 Aqua 的博客和完整研究。

感谢阅读！如果您对AI的更多资讯感兴趣，可以查看更多AI文章：GPTNB。