英美大部分CISO无法保护公司“秘密”

代码安全平台GitGuardian的调研报告表明，大约52%的美国和英国企业首席信息安全官（CISO）无法完全保护好公司秘密。报告指出，尽管美国和英国的秘密管理实践已具备一定成熟度，但仍有很长的路要走。

大约四分之三的受访者报告了至少一次秘密泄露。

Sapio Research委托的这项调查研究分析了来自507位IT决策者的回复，受访对象职务包括IT主管、IT副总裁、CIO、CSO、CISO和网络安全副总裁等，评估了对DevOps环境暴露秘密所带来的风险的认识。

GitGuardian网络安全专家Thomas Segura表示：“每年，GitGuardian都会发布年度《秘密蔓延状况》报告，呈现公开GitHub上发现的秘密数量的增长。这项新的研究旨在更好地了解业内对该问题的认知，以及安全领导层遇到的阻碍。”

GitGuardian《2023年秘密蔓延状况》报告于今年早些时候发布，揭示该公司2022年在公开GitHub上检测到1000万个源代码秘密。新研究紧随这份报告推出，题为《从业者之声》。

行业警惕被泄秘密

研究显示，美国和英国的很多IT部门都意识到了秘密暴露的危险。75%的受访者表示，自己所在公司曾经发生过秘密泄露事件，其中60%承认事件给公司、员工或二者都造成了大麻烦。

暴露的秘密包括API密钥、用户名、密码和加密密钥等等。遭遇过秘密泄露事件的受访者中仅10%表示泄露并未影响到公司或其员工。

被问及软件供应链中的关键风险点时，58%的受访者认为“源代码和存储库”是核心风险区域，另外分别有53%和47%的受访者认为“开源依赖项”和“硬编码秘密”是问题点。

“存储库成为包括秘密在内的安全漏洞集中营是有道理的。”企业战略集团（ESG）分析师Melinda Marks说道，“得记住，云原生应用安全不仅仅是保护应用中的代码，还必须保护用来运行和构建应用的一切。持续集成/持续交付（CI/CD）管道及其相关存储库让各团队能够快速构建自己的应用和相互协作，极大提升了云原生开发的效率。”

GitGuardian的研究表明，这些数据基本意味着“大多数受访者将秘密保护视为应用风险管理的关键组成部分”。

管理尚未到位

尽管整个行业的秘密管理实践已具备一定的成熟度，但仍有很长的路要走。安全专业人员目前能在多大程度上防止秘密泄露的问题就引来了各种各样的回答。虽然近半数（48%） 称能“在很大程度上”防止此类泄露，但其余受访者的回答是“某种程度上”或“几乎不能”。

此外，被问及硬编码秘密策略时， 27%的受访者坦陈自己依靠人工审查来检测硬编码秘密，表明采用的是过时、低效的秘密管理方法。还有17%的受访者认为自己不需要秘密检测，因为已经使用了秘密管理器或秘密保险柜，3%的受访者承认自己根本没有策略。

相当一部分（53%）高级安全受访者也承认，开发团队内部用明文共享秘密。

“我认为最大的问题就是，开发人员编写代码时可能会不小心暴露秘密，又在提交代码时忘记删除重要的数据、凭证或秘密开发人员培训和意识很重要，给他们能够轻松找出并纠正安全问题的工具也很重要。”Marks称。

这项研究指出，相较于其他工具，尤其是运行时保护工具，秘密检测与修复和秘密管理不那么受重视（就投资而言）。38%的受访者表示计划投资运行时应用保护工具，但分别只有26%和25%的受访者表示将在秘密检测与修复和秘密管理方面投入资金。

不过，GitGuardian的调查结果确实透出了光明的一面：94%的受访者表示考虑在未来12到18个月里以某方式改进自身秘密保护实践。

自动化代码审查和秘密扫描器

Segura表示，可以通过自动化代码验证来增强代码审查，例如运行SAST（静态分析）、SCA（软件成分分析）和秘密扫描器。

“秘密扫描器是必须的，因为秘密可能已经被删除，审查人员看不到，但仍是代码历史中的漏洞。”Segura说道。

GitGuardian认为，依靠秘密扫描器可能不足以保护企业。

“没错，秘密扫描器确实有所帮助。但秘密更大的问题在于其发布的速度越来越快，规模越来越大。秘密是可随云原生开发快速铺开的。所以，这不仅仅是有没有扫描的问题，而是扫描减少误报的效果，以及提供上下文推动高效修复，从而降低安全风险的问题。”Marks称。

研究建议采取预提交措施防止秘密泄露，因为收集被泄秘密的上下文用于确定优先级十分重要，可能会引发摩擦，导致修复变得棘手。