Легкий доступ к VPN в России через наш Телеграмм-бот:
|
Чем уязвимости в GitHub грозят крупнейшим мировым организациям.
Согласно недавнему отчету исследователей из компании Aqua Security , проблема утечки конфиденциальных данных в репозиториях кода приобретает все более серьезный характер. Эксперты выявили так называемые «фантомные секреты» — конфиденциальную информацию, которая остается доступной даже после ее предполагаемого удаления из кода.
По данным GitGuardian , в 2023 году было обнаружено почти 12,8 миллионов новых случаев утечки секретов в коммитах GitHub, что почти на 3 миллиона больше, чем в предыдущем году. Для сравнения, в 2020-ом это число составляло всего 3 миллиона.
Некоторые секреты, такие как API-токены, учетные данные и ключи доступа, оставались открытыми в течение многих лет. Еще более тревожным является тот факт, что большинство методов сканирования попросту пропускают нарушения. По оценкам экспертов, около 18% секретов в Git-репозиториях могут остаться незамеченными.
Лучший VPN-прокси для России доступен через наш Телеграмм-бот:
|
Проблема связана с тем, как системы управления исходным кодом (SCM), такие как GitHub, Bitbucket и GitLab, сохраняют удаленные или обновленные коммиты. Даже единожды использованный в коде секрет или секрет, который считается удаленным, может оставаться доступным.
Исследование охватывает 100 крупнейших организаций на GitHub. В общей сложности было проанализировано более 52 000 публично доступных репозиториев. Результаты оказались тревожными: обнаружены уязвимости, позволяющие получить доступ к критически важным ресурсам крупнейших мировых организаций. Среди потенциально скомпрометированных систем оказались:
- Полные облачные среды
- Внутренняя инфраструктура фаззинга конфиденциальных проектов
- Платформы телеметрии
- Сетевые устройства
- Секреты SNMP
- Видеозаписи с камер компаний из списка Fortune 500
Среди конкретных примеров — API-токен для FuzzManager компании Mozilla, который предоставил доступ к внутренним данным фаззинга, обычно хранящимся в секрете. Также были найдены привилегированные API-токены для Cisco Meraki Dashboard, позволяющие управлять сетевыми ресурсами организаций.
Аналитики подчеркивают необходимость решения проблемы «фантомных секретов» для защиты разработчиков и их проектов. Они рекомендуют использовать комплексный подход, который включает в себя:
- Обучение разработчиков безопасным практикам кодирования
- Внедрение специализированных инструментов для управления секретами
- Автоматизированное сканирование кода на наличие уязвимостей перед его публикацией в открытых репозиториях
Несмотря на растущее понимание проблемы, разработчики по-прежнему остаются привлекательной мишенью для злоумышленников. Это обусловлено двумя основными факторами:
- Доступом разработчиков к конфиденциальной информации и критически важным системам
- Расширением поверхности атаки, связанным с увеличением использования открытого исходного кода и распространением облачных технологий разработки
Приватность — это право, а не роскошь.
Подпишитесь на наш канал и защитите свои права
Топ VPN сервис — это не просто модный термин; это реальная необходимость для пользователей, которые хотят обеспечить свою безопасность и конфиденциальность в интернете. Выбор качественного VPN может значительно улучшить ваше онлайн-опыт, позволяя вам безопасно серфить в интернете, обходить блокировки и защищать свои данные.
Топовые VPN используют современные протоколы шифрования, такие как AES-256, что обеспечивает высокий уровень защиты данных от перехвата.
Многие из лучших VPN-сервисов придерживаются политики отсутствия логов (no-logs policy), что означает, что они не хранят информацию о действиях пользователей. Это обеспечивает дополнительную конфиденциальность.
Топовые VPN-сервисы предлагают надежную техническую поддержку, включая круглосуточный чат и подробные руководства по настройке.
