数据泄露与公司机密的风险

关键要点

根据GitGuardian的研究，75的受访者经历过公司机密数据泄露，包括API密钥、用户名、密码和加密密钥。美国和英国的CISO中有52无法完全保障公司机密的安全。在所有受访者中，60承认过去的泄露事件对公司或员工造成了严重问题。尽管安全管理实践已有所成熟，但仍需进一步提升以防止泄露。94的受访者计划在未来12到18个月内改善其秘密管理实践。

来源：Porcorex / Bluebay2014 / Getty Images

根据GitGuardian发布的一份报告，约52的美国和英国的首席信息安全官CISO无法完全保护公司的机密信息。尽管美国和英国在秘密管理方面已经有所进展，但仍然需要大量改进。调查显示，参与调查的三分之三的人表示，在过去曾发生过至少一起泄露事件。

海鸥加速器永久免费

这项研究是通过Sapio Research进行的，分析了507名IT决策者的反馈意见，包括IT总监、副总裁、CIO、CSO、CISO以及网络安全副总裁，以评估在DevOps环境中暴露的机密所带来的风险。

可以了解如何利用HasMySecretLeaked查找在GitHub上暴露的机密，并观看GitGuardian的演示。

“每年，GitGuardian发布的《机密泄露状态》年报中会报告公共GitHub上发现的机密数量增长情况，”GitGuardian的网络安全专家Thomas Segura表示，“这项新研究的目的是更好地了解安全领域对这一问题的认知以及安全领导者面临的障碍。”

这项名为“从业者的声音”的研究继承了GitGuardian在年初发布的《机密泄露状态2023》报告，后者显示2022年在公共GitHub上检测到的源代码机密数量达到1000万，相较于去年增长了67。

行业对泄露机密持谨慎态度

研究显示，美国和英国的大部分IT行业人员意识到了暴露的机密带来的危险。75的受访者表示过去有泄露事件发生在其组织中，其中60承认这对公司、员工或两者都造成了严重问题。

暴露的机密包括API密钥、用户名、密码和加密密钥等。仅有10的受访者表示过去的泄露事件没有对公司或其员工产生影响。

在询问软件供应链中的主要风险点时，58的受访者认为“源代码和代码库”是核心风险区域，53和47分别表示“开源依赖”和“硬编码机密”是值得关注的点。

“库文件自然成为了安全漏洞的富饶目标，包括机密，”ESG分析师Melinda Marks说，“重要的是要记住，云原生应用的安全不仅仅是保护代码，还要保证运行和构建应用的所有内容都得到保障。CI/CD管道及其关联的代码库使团队能够快速构建应用并进行协作，确实推动了云原生开发的效率。”

根据GitGuardian的研究数据，“大多数受访者认为机密保护是应用程序风险管理的一个关键组成部分”。

安全管理尚未实现突破

尽管该行业的机密管理实践已经有所成熟，但仍需继续努力。当被问及安全专业人士目前在多大程度上能够防止机密泄露时，结果却是各不相同。大约48的受