专注数据安全服务
新闻动态

行业新闻

电话:025-86211355

地址:南京市雨花台区花神大道23号10号楼5F 1051室

行业新闻
调查:超七成CISO无法防止开发机密信息泄露
点击数:  665
  • 根据代码安全平台GitGuardian最新发布的安全主管调查报告,75%的受访者经历过至少一次公司软件开发机密的数据泄露,包括API密钥、用户名密码和加密密钥。
    报告显示,受访的美国和英国CISO约有52%无法确保公司的开发机密信息不被泄露。该报告指出,尽管美国和英国企业的保密管理实践已经成熟,但仍有走很长的路要走。
    这项研究分析了507名IT决策者的回复,受访者包括IT总监、IT副总裁、CIO、CSO、CISO和网络安全副总裁,以评估DevOps环境中暴露的机密信息的风险。
    根据GitGuardian今年早些时候发布的“2023年机密蔓延状态”报告,2022年在Github上检测到了1000万个源代码机密,同比增长了67%。
    软件供应链的三个关键风险点
    研究表明,英美企业的IT部门普遍意识到了泄露机密的危险。75%的受访者表示,他们的企业过去曾发生过泄密事件,60%的受访者承认这给公司、员工或两者造成了严重的问题。
    暴露的机密包括API密钥、用户名密码和加密密钥等。只有10%的发生过泄密事件的受访者表示,泄密事件并未影响公司或其员工。
    调查显示,软件供应链存在三个关键风险点:58%的受访者认为“源代码和存储库”是核心风险领域,其次是“开源依赖”(53%)和“硬编码机密”(47%)。
    “包含大量机密信息的代码存储库将成为网络攻击的宝藏,”ESG分析师Melinda Marks指出:“重要的是,云原生应用安全不仅仅是保护应用程序中的代码,还必须保护用于运行和开发应用程序的所有内容,包括CI/CD管道及其关联的存储库。”
    机密管理水平普遍滞后
    整个行业的机密管理实践仍有很长的路要走。接近一半(48%)的受访者表示他们可以“在很大程度上”防止此类泄漏,但其余的受访者回答“在某种程度上”或“很少”。
    此外,当被问及硬编码机密策略时,27%的受访者表示他们依靠人工审查来检测硬编码机密,这表明机密管理方式过时、效率低下。此外,17%的人认为他们不需要机密信息检测,因为他们使用了机密管理器或保险库,3%的人承认根本没有策略。
    值得注意的是,相当大比例(53%)的高级安全主管承认,在开发团队中,机密信息是以纯文本形式共享的。
    “我认为最大的问题是开发人员在编写代码时可能因疏忽而暴露机密,例如在提交代码时忘记删除重要数据、凭据或机密。因此,开发人员的安全意识培训很重要,此外还需要为他们提供轻松查找和纠正安全问题的工具。”报告指出。
    该研究指出,与其他工具(特别是运行时保护工具)相比,机密检测和修复以及机密管理(在投资方面)的优先级较低。虽然38%的受访者表示计划投资运行时应用程序保护工具,但分别只有26%和25%的受访者表示他们将把钱投入到机密检测和修复以及机密管理上。
    不过,GitGuardian的调查也揭示了光明的一面:94%的受访者表示他们正在以某种方式考虑在未来12-18个月内改进他们的机密管理实践。

    注:转载自GoUpSec

上一篇:瞒报数据泄露成全球“潜规则?
下一篇:美国交通部23.7万员工的个人信息遭到泄露

Copyright © www.nengbang.cn,All rights reserved 苏ICP备:12016620号-2

公司地址:南京市雨花台区花神大道23号10号楼5F 1051室