敏感数据泄露事件持续上升

3月3日，GitGuardian发布报告称，2021年企业泄露了超过600万个密码、API密钥和其他敏感数据（统称开发“秘密”），泄密量是上一年的两倍。报告表明，推送到存储库的代码有所增加，并且可用的检测功能也更强大了。

GitGuardian发现，平均而言，2021年每1000个GitHub提交就有3个泄露秘密，这一频率比2020年高出50%。超过一半的秘密包含访问数据存储服务、云提供商、私有加密密钥或开发工具所需的凭证，另外10%则含有用于消息传递系统和版本控制平台的凭据。

GitGuardian开发人员倡导者Mackenzie Jackson表示，敏感访问信息泄露给潜在的攻击者会破坏公司网络和基础设施的安全性。GitGuardian称，此处的“秘密”一词指的是“授予服务、系统和数据访问权限”的任何数字身份验证凭证，包括API密钥、应用或服务凭证，以及安全证书。

Jackson表示：“几乎所有攻击都会以某种方式用到秘密，或许没用作初始访问，但肯定会用来提升攻击者的权限和登入其他系统。老实说，看到秘密泄露急剧增长，我们倍感惊讶。但归根结底，这一情况显然是开发人员处理的技术越来越多和远程办公等其他因素共同作用的结果。”

2021年里，多起重大数据泄露事件都涉及到秘密泄露问题。代码检查公司CodeCov创建Docker映像的方式存在漏洞，攻击者利用了这个漏洞，将上传工具修改为也给攻击者发送访问凭证，令数百家公司的开发流程面临遭到破坏的风险。而在另一起数据泄露事件中，攻击者泄露了游戏流媒体网站Twitch的源代码，暴露了6000多个Git存储库和300万份文档，并泄露了6600多个可能造成更多数据泄露的开发秘密。

秘密泄露问题严重

根据GitGuardian的报告，总体而言，拥有400名开发人员的公司扫描其存储库时可能会发现代码中遗留有1050个秘密。GitGuardian强调，应用安全（AppSec）人员负责确保开发项目的安全，找出并修复泄露秘密的任务超出了他们的能力范围。平均而言，公司里每位应用工程师都得处理3400多个泄露的秘密。

“这确实是一项不可能完成的任务，他们被这个问题完全淹没了。要解决这个问题，开发人员也必须挑起一部分担子，我们得给开发人员提供工具，还要开展安全教育。”

GitGuardian今年将公共Docker映像和企业私有存储库也纳入了分析范围。此外，该公司用于检测秘密的模式也从2020年的250种增加到了350种。很多开发人员不太注意私有存储库的秘密管理，觉得即使暴露了也不会造成秘密被公开。然而，代码总会蔓延到公司各个角落的。

“现实是，代码会进入你的私有存储库，然后被克隆到所有开发人员的机器上，可能是他们的个人电脑，也可能是他们的工作电脑，然后通过各种消息传递系统共享。于是，我们很容易就无法掌握这些代码都跑到哪里了。”

GitGuardian的报告揭示，绝大多数网络安全事件都涉及私有存储库泄露，例如，泄露的Azure云访问凭证中有85%都是从私有存储库泄出的。

个人项目影响企业

这份报告的另一个有趣发现是，开发人员在周末和公共假日泄露的秘密最多，这表明他们不太重视自己个人项目的安全，或者对个人项目执行的安全检查比较少。

然而，个人项目泄露仍会置公司安全于风险之下。

“从某种意义上说，GitHub十分特别，如果你在GitHub.com上拥有个人账户，且你所在公司也在用GitHub，那你就可以公私共用同一个账户，从此办公开发和个人开发就分不清了。所以，我们经常看到企业密钥从个人git存储库中流出。”

GitGuardian在报告中建议，公司应将开发人员更密切地纳入到应用安全维护工作当中来，并设立责任共担模型。相比应用安全人员独力承担安全维护工作，纳入开发人员可以多解决72%的事件，且修复速度能够翻倍。

报告指出：“通过将漏洞扫描集成到开发工作流程，安全便不再成为瓶颈：你可以帮助开发人员尽早捕获漏洞，大幅降低修复成本。对蔓延非常敏感的秘密检测则更是如此。”