Laporan State of Secrets Sprawl GitGuardian untuk tahun 2025 mengungkapkan skala paparan rahasia yang mengkhawatirkan di lingkungan perangkat lunak modern. Mengemudi Ini adalah pertumbuhan cepat identitas non-manusia (NHI), yang telah melebihi jumlah pengguna manusia selama bertahun-tahun. Kita perlu maju dan menyiapkan langkah -langkah keamanan dan tata kelola untuk identitas mesin ini karena mereka terus digunakan, menciptakan tingkat risiko keamanan yang belum pernah terjadi sebelumnya.
Laporan ini mengungkapkan 23,77 juta rahasia baru yang mengejutkan di GitHub pada tahun 2024 saja. Ini adalah lonjakan 25% dari tahun sebelumnya. Peningkatan dramatis ini menyoroti bagaimana proliferasi identitas non-manusia (NHI), seperti akun layanan, layanan mikro, dan agen AI, dengan cepat memperluas permukaan serangan untuk aktor ancaman.
Krisis Identitas Non-Manusia
Rahasia NHI, termasuk kunci API, akun layanan, dan pekerja Kubernetes, sekarang melebihi jumlah identitas manusia dengan setidaknya 45 banding-1 di lingkungan DevOps. Kredensial berbasis mesin ini sangat penting untuk infrastruktur modern tetapi menciptakan tantangan keamanan yang signifikan ketika salah kelola.
Yang paling memprihatinkan adalah kegigihan kredensial yang terbuka. Analisis GitGuardian menemukan bahwa 70% dari rahasia pertama kali terdeteksi dalam repositori publik pada tahun 2022 tetap aktif sampai sekarang, menunjukkan kegagalan sistemik dalam rotasi kredensial dan praktik manajemen.
Repositori Pribadi: Rasa keamanan yang salah
Organisasi mungkin percaya kode mereka aman di repositori pribadi, tetapi data menceritakan kisah yang berbeda. Repositori pribadi sekitar 8 kali lebih mungkin mengandung rahasia daripada yang publik. Ini menunjukkan bahwa banyak tim bergantung pada “keamanan melalui ketidakjelasan” daripada menerapkan manajemen rahasia yang tepat.
Laporan tersebut menemukan perbedaan yang signifikan dalam jenis rahasia yang bocor secara pribadi versus repositori publik:
- Rahasia generik mewakili 74,4% dari semua kebocoran dalam repositori swasta versus 58% di publik
- Kata sandi generik akun untuk 24% dari semua rahasia generik dalam repositori pribadi dibandingkan dengan hanya 9% dalam repositori publik
- Kredensial perusahaan seperti AWS IAM Keys muncul di 8% dari repositori pribadi tetapi hanya 1,5% dari yang publik
Pola ini menunjukkan bahwa pengembang lebih berhati -hati dengan kode publik tetapi sering memotong sudut di lingkungan yang mereka yakini dilindungi.
Alat AI memperburuk masalah
Github Copilot dan asisten pengkodean AI lainnya mungkin meningkatkan produktivitas, tetapi mereka juga meningkatkan risiko keamanan. Repositori dengan Copilot yang diaktifkan ditemukan memiliki tingkat kejadian kebocoran rahasia 40% lebih tinggi dibandingkan dengan repositori tanpa bantuan AI.
Statistik yang mengganggu ini menunjukkan bahwa pengembangan bertenaga AI, sementara mempercepat produksi kode, mungkin mendorong pengembang untuk memprioritaskan kecepatan daripada keamanan, menanamkan kredensial dengan cara yang mungkin dihindari oleh praktik pembangunan tradisional.
Hub Docker: 100.000+ rahasia yang valid terbuka
Dalam analisis yang belum pernah terjadi sebelumnya dari 15 juta gambar Docker publik dari Docker Hub, GitGuardian menemukan lebih dari 100.000 rahasia yang valid, termasuk kunci AWS, kunci GCP, dan token GitHub milik perusahaan Fortune 500.
Penelitian ini menemukan bahwa 97% dari rahasia yang valid ini ditemukan secara eksklusif di lapisan gambar, dengan sebagian besar muncul di lapisan yang lebih kecil dari 15MB. Instruksi Env saja menyumbang 65% dari semua kebocoran, menyoroti titik buta yang signifikan dalam keamanan kontainer.
Beyond Source Code: Rahasia dalam Alat Kolaborasi
Kebocoran rahasia tidak terbatas pada repositori kode. Laporan tersebut menemukan bahwa platform kolaborasi seperti Slack, Jira, dan Confluence telah menjadi vektor yang signifikan untuk paparan kredensial.
Yang mengkhawatirkan, rahasia yang ditemukan dalam platform ini cenderung lebih kritis daripada yang ada dalam repositori kode sumber, dengan 38% insiden yang diklasifikasikan sangat kritis atau mendesak dibandingkan dengan 31% dalam sistem manajemen kode sumber. Ini terjadi sebagian karena platform ini tidak memiliki kontrol keamanan yang ada dalam alat manajemen kode sumber modern.
Yang mengkhawatirkan, hanya 7% dari rahasia yang ditemukan dalam alat kolaborasi juga ditemukan di basis kode, menjadikan area rahasia ini membangkitkan tantangan unik yang tidak dapat dikurangi oleh sebagian besar alat pemindaian rahasia. Juga jengkel oleh fakta bahwa pengguna sistem ini melintasi semua batasan departemen, yang berarti semua orang berpotensi membocorkan kredensial ke dalam platform ini.
Masalah izin
Lebih lanjut memperburuk risiko, GitGuardian menemukan bahwa kredensial yang bocor sering memiliki izin yang berlebihan:
- 99%dari tombol API GitLab memiliki akses penuh (58%) atau akses hanya baca (41%)
- 96% token github memiliki akses menulis, dengan 95% menawarkan akses repositori penuh
Izin luas ini secara signifikan memperkuat dampak potensial dari kredensial yang bocor, memungkinkan penyerang untuk bergerak secara lateral dan meningkatkan hak istimewa dengan lebih mudah.
Memutus siklus rahasia sprawl
Sementara organisasi semakin mengadopsi solusi manajemen rahasia, laporan ini menekankan alat -alat ini saja tidak cukup. GitGuardian menemukan bahwa bahkan repositori menggunakan manajer rahasia memiliki tingkat kejadian 5,1% dari rahasia bocor pada tahun 2024.
Masalahnya membutuhkan pendekatan komprehensif yang membahas seluruh siklus hidup rahasia, menggabungkan deteksi otomatis dengan proses perbaikan cepat dan mengintegrasikan keamanan di seluruh alur kerja pengembangan.
Seperti yang disimpulkan oleh laporan kami, “Laporan Secrets Secrets State 2025 menawarkan peringatan yang jelas: ketika identitas non-manusia berlipat ganda, demikian juga rahasia yang terkait-dan risiko keamanan. Pendekatan reaktif dan terfragmentasi untuk manajemen rahasia tidak cukup dalam dunia penempatan otomatis, kode yang dihasilkan AI, dan pengiriman aplikasi yang cepat.”
