Il rapporto di GitGuardian sullo stato della diffusione dei segreti per il 2025 rivela l’allarmante portata dell’esposizione dei segreti negli ambienti software moderni. A guidare questo fenomeno è la rapida crescita delle identità non umane (NHI), che superano in numero gli utenti umani da anni. È fondamentale anticipare questo trend e preparare misure di sicurezza e governance per queste identità macchina, poiché continuano a essere implementate, creando un livello di rischio per la sicurezza senza precedenti.
La crisi delle identità non umane
I segreti delle identità non umane, inclusi chiavi API, account di servizio e lavoratori Kubernetes, ora superano le identità umane di almeno 45 a 1 negli ambienti DevOps. Queste credenziali basate su macchine sono essenziali per l’infrastruttura moderna, ma creano sfide significative per la sicurezza quando gestite in modo inadeguato.
Un falso senso di sicurezza nei repository privati
Le organizzazioni potrebbero credere che il loro codice sia sicuro nei repository privati, ma i dati raccontano una storia diversa. I repository privati sono circa 8 volte più propensi a contenere segreti rispetto a quelli pubblici. Questo suggerisce che molti team si affidano alla “sicurezza attraverso l’oscurità” piuttosto che implementare una corretta gestione dei segreti.
Il rapporto ha rilevato differenze significative nei tipi di segreti trapelati nei repository privati rispetto a quelli pubblici:
- I segreti generici rappresentano il 74,4% di tutte le fughe nei repository privati rispetto al 58% in quelli pubblici.
- Le password generiche costituiscono il 24% di tutti i segreti generici nei repository privati rispetto a solo il 9% in quelli pubblici.
- Le credenziali aziendali come le chiavi AWS IAM appaiono nell’8% dei repository privati ma solo nell’1,5% di quelli pubblici.
Questo schema suggerisce che gli sviluppatori sono più cauti con il codice pubblico ma spesso trascurano la sicurezza in ambienti che credono protetti.
Strumenti AI che peggiorano il problema
GitHub Copilot e altri assistenti di codifica AI potrebbero aumentare la produttività, ma stanno anche incrementando i rischi per la sicurezza. I repository con Copilot abilitato hanno mostrato un’incidenza del 40% più alta di fughe di segreti rispetto ai repository senza assistenza AI.
Questa statistica preoccupante suggerisce che lo sviluppo potenziato dall’AI, pur accelerando la produzione di codice, potrebbe incoraggiare gli sviluppatori a dare priorità alla velocità rispetto alla sicurezza, incorporando credenziali in modi che le pratiche di sviluppo tradizionali potrebbero evitare.
Docker Hub: oltre 100.000 segreti validi esposti
In un’analisi senza precedenti di 15 milioni di immagini pubbliche su Docker Hub, GitGuardian ha scoperto un numero impressionante di segreti esposti. Questo mette in evidenza la necessità urgente di migliorare le pratiche di gestione dei segreti e di adottare misure di sicurezza più rigorose per proteggere le infrastrutture moderne.
Il rapporto rivela che nel solo 2024 sono stati trapelati su GitHub ben 23,77 milioni di nuovi segreti, con un aumento del 25% rispetto all’anno precedente. Questo drammatico incremento sottolinea come la proliferazione delle identità non umane, come account di servizio, microservizi e agenti AI, stia rapidamente espandendo la superficie di attacco per gli attori delle minacce.
La persistenza delle credenziali esposte è particolarmente preoccupante. L’analisi di GitGuardian ha rilevato che il 70% dei segreti rilevati per la prima volta nei repository pubblici nel 2022 è ancora attivo oggi, indicando un fallimento sistemico nelle pratiche di rotazione e gestione delle credenziali.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!