Wiz kódbiztonsági jelentés
A Wiz kutatónak jelentése a modern szoftverfejlesztés legfontosabb biztonsági kockázatait és trendjeit elemzi. A jelentés több százezer GitHub, GitLab és Azure DevOps platformon található adattár elemzésével készült, és rávilágít a termelési kódfejlesztést és környezeteket érintő főbb kockázatokra és hibákra.
A jelentés kiemeli, hogy a GitHub népszerűsége miatt a fejlesztők és a támadók központi platformjává vált. A jelentés szerint az adattárak 35%-a nyilvános, ami lehetőséget ad a rosszindulatú szereplőknek a kihasználásra, ha a fejlesztők véletlenül érzékeny adatokat, például API kulcsokat vagy hozzáférési tokeneket osztanak meg. A szervezetek 61%-ának nyilvános adattárai tartalmaznak felhőhöz kapcsolódó titkokat, mint például API kulcsok és hozzáférési tokenek. Egy egyszerű, kiszivárgott AWS hozzáférési kulcs is adatlopáshoz, pénzügyi veszteségekhez és hírnévromláshoz vezethet. Bár az önállóan üzemeltetett CI/CD futtatók kényelmes megoldást nyújtanak, jelentős kockázatot hordoznak. A vállalatok 35%-a használ nem efemer önálló futtatókat, ami növeli annak kockázatát, hogy a támadók oldalirányú mozgást hajtsanak végre az adattárak és szervezetek között. Ráadásul ezek a környezetek gyakran rossz karbantartási gyakorlatokkal rendelkeznek, így magas kockázatú sebezhetőségeknek vannak kitéve. A harmadik féltől származó GitHub alkalmazások megkönnyítik a munkafolyamatokat, de gyakran felesleges kockázatot jelentenek. Az alkalmazások 76%-a rendelkezik pull_requests és contents jogosultságokkal, és ezek 80%-a írási hozzáférést biztosít, lehetővé téve a közvetlen módosításokat az adattárakban. Az ilyen jogosultságokkal való visszaélés—legyen az rosszindulatú vagy feltört alkalmazás által—komoly veszélyt jelenthet a kód integritására.
A kód- és verziókezelő rendszerekben kezeletlen kockázatok jelentős kihívásokat jelentenek a modern vállalatok számára. Az érzékeny adatok kiszivárgásától kezdve a nem biztonságos CI/CD munkafolyamatokig ezek a sebezhetőségek veszélyeztetik a termelési környezeteket.
