L’analisi di GitGuardian è spietata: su GitHub ci sono dieci milioni di secret/token/password esposti

GitGuardian

GitGuardian è un’azienda il cui omonimo prodotto di punta si occupa di cercare all’interno dei repository analizzati l’esposizione di potenziali dati sensibili, siano questi secret, token o semplici password.

GitGuardian fornisce una piattaforma SaaS (Software As A Service) utilizzata da svariati utenti, pertanto è presumibile che le analisi derivanti dal suo utilizzo forniscano un termometro piuttosto affidabile sullo stato della sicurezza delle applicazioni nell’era del cloud native.

Vale quindi la pena spendere qualche minuto per leggere “The state of secrets sprawl“, una dettagliata analisi in merito allo stato della diffusione dei dati sensibili nelle applicazioni, e quindi della loro intrinseca insicurezza.

Il dato che balza all’occhio è il primo fornito: nel 2022 c’è stato un incremento del 67% dei secret rilevati all’interno dei commit GitHub, se vi state chiedendo a quanto ammonti il numero è presto detto: dieci milioni di secret rilevati. Un numero impressionante, solo parzialmente giustificabile dall’incremento dei repository analizzati (+20%).

I numeri sono davvero impietosi:

secret rilevati all’interno dei commit GitHub

Nello studio sono citati diversi major incidents avvenuti nel 2022, divisi in 3 principali categorie:

  1. Secret scoperti in seguito ad attacchi.
  2. Furto di repository di codice.
  3. Secret esposti pubblicamente.

Quindi sì, il problema di avere le password in chiaro nel proprio codice è presente (vedi il caso di Toyota), ma non è il solo motivo di preoccupazione.

Sono citati gli attacchi subiti da Uber e CircleCI per la prima categoria, i casi di furto subiti tra gli altri da NVIDIA e Samsung.

Insomma, ce n’è davvero per tutti i gusti ed ovviamente, ma qui è chiaro come ognuno giustamente tiri l’acqua al suo mulino (dopo tutto è di un report sulla mancanza di sicurezza fatto da un’azienda di sicurezza che stiamo parlando), la conclusione è che in quest’epoca dell’informatica non si può più prescindere da analisi costanti e continue in termini di sicurezza sul codice che si produce.

È chiaro come l’idea “ma tanto il mio è un repository privato” non sia solamente del tutto sbagliata, ma più che altro pericolosa.

790f89849d535c46ddf9fb9b8fa033b4?s=150&d=mp&r=g
Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Fonte: https://www.miamammausalinux.org/2023/03/lanalisi-di-gitguardian-e-spietata-su-github-ci-sono-dieci-milioni-di-secret-token-password-esposti/

Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.