El mensaje de expansión del estado de secretos de Gitguardian para 2025 revela la escalera amenazador de la exposición a los secretos en entornos de software modernos. Conducir este es el rápido crecimiento de las identidades no humanas (NHIS), que han superado en número a los usuarios humanos durante primaveras. Necesitamos adelantarse y preparar medidas de seguridad y gobernanza para estas identidades de la máquina a medida que continúan implementándose, creando un nivel de aventura de seguridad sin precedentes.
Este mensaje revela que se filtraron 23.77 millones de nuevos secretos en GitHub solo en 2024. Este es un aumento del 25% del año mencionado. Este aumento dramático resalta cómo la proliferación de identidades no humanas (NHIS), como las cuentas de servicio, los microservicios y los agentes de IA, están expandiendo rápidamente la superficie de ataque para los actores de amenazas.
La crisis de identidad no humana
Los secretos de NHI, incluidas las claves API, las cuentas de servicio y los trabajadores de Kubernetes, ahora superan en número a las identidades humanas por al menos 45 a 1 en entornos de DevOps. Estas credenciales basadas en máquinas son esenciales para la infraestructura moderna, pero crean desafíos de seguridad significativos cuando están mal administrados.
Lo más preocupante es la persistencia de las credenciales expuestas. El observación de Gitguardian encontró que el 70% de los secretos detectados por primera vez en repositorios públicos en 2022 permanecen activos hoy, lo que indica una equivocación sistémica en la rotación de credenciales y las prácticas de encargo.
Repositorios privados: un espurio sentido de seguridad
Las organizaciones pueden creer que su código es seguro en repositorios privados, pero los datos cuentan una historia diferente. Los repositorios privados tienen aproximadamente 8 veces más probabilidades de contener secretos que los públicos. Esto sugiere que muchos equipos dependen de la “seguridad a través de la oscuridad” en oportunidad de implementar la encargo adecuada de los secretos.
El mensaje encontró diferencias significativas en los tipos de secretos filtrados en repositorios privados frente a notorio:
- Los secretos genéricos representan el 74.4% de todas las filtraciones en repositorios privados frente a 58% en los públicos
- Las contraseñas genéricas representan el 24% de todos los secretos genéricos en repositorios privados en comparación con solo el 9% en repositorios públicos
- Las credenciales empresariales como AWS IAM Keys aparecen en el 8% de los repositorios privados pero solo el 1.5% de los públicos
Este patrón sugiere que los desarrolladores son más cautelosos con el código notorio, pero a menudo cortan esquinas en entornos que creen que están protegidos.
Herramientas de IA que empeora el problema
El copiloto de GitHub y otros asistentes de codificación de IA pueden aumentar la productividad, pero todavía están aumentando los riesgos de seguridad. Se descubrió que los repositorios con copiloto habían tenido una tasa de incidencia de 40% de fugas secretas en comparación con los repositorios sin concurrencia de IA.
Esta estadística preocupante sugiere que el avance con AI, al acelerar la producción de código, puede estar alentando a los desarrolladores a priorizar la velocidad sobre la seguridad, integrando las credenciales de forma que las prácticas de avance tradicionales puedan evitar.
Docker Hub: más de 100,000 secretos válidos expuestos
En un observación sin precedentes de 15 millones de imágenes públicas de Docker de Docker Hub, Gitguardian descubrió más de 100,000 secretos válidos, incluidos AWS Keys, GCP Keys y Github Tokens que pertenecen a las compañías Fortune 500.
La investigación encontró que el 97% de estos secretos válidos se descubrieron exclusivamente en capas de imagen, y la mayoría aparecía en capas menores de 15 MB. Las instrucciones de ENV solo representaron el 65% de todas las fugas, destacando un punto ciego significativo en la seguridad del contenedor.
Más allá del código fuente: secretos en herramientas de colaboración
Las filtraciones secretas no se limitan a los repositorios de código. El mensaje encontró que las plataformas de colaboración como Slack, Jira y Confluence se han convertido en vectores significativos para la exposición a las credenciales.
De forma amenazador, los secretos que se encuentran en estas plataformas tienden a ser más críticos que los de los repositorios del código fuente, con el 38% de los incidentes clasificados como enormemente críticos o urgentes en comparación con el 31% en los sistemas de encargo del código fuente. Esto sucede en parte porque estas plataformas carecen de los controles de seguridad presentes en las herramientas de encargo de código fuente modernas.
Al amenazador, solo el 7% de los secretos que se encuentran en las herramientas de colaboración todavía se encuentran en la pulvínulo del código, lo que hace que esta ámbito de secretos se extienda un desafío único que la mayoría de las herramientas de escaneo secretas no pueden mitigar. Asimismo se ve exasperado por el hecho de que los usuarios de estos sistemas cruzan todos los límites del área, lo que significa que todos están filtrando credenciales a estas plataformas.
El problema de los permisos
Exacerbando aún más el aventura, Gitguardian descubrió que las credenciales filtradas con frecuencia tienen permisos excesivos:
- El 99%de las claves de la API de GitLab tenían llegada completo (58%) o llegada de solo repaso (41%)
- El 96% de los tokens GitHub tenían llegada a escritura, con un 95% que ofrece llegada completo al repositorio
Estos amplios permisos amplifican significativamente el impacto potencial de las credenciales filtradas, lo que permite a los atacantes moverse lateralmente y aumentar los privilegios más fácilmente.
Rompiendo el ciclo de los secretos.
Si proporcionadamente las organizaciones adoptan cada vez más soluciones de encargo secreta, el mensaje enfatiza estas herramientas por sí solas no son suficientes. Gitguardian descubrió que incluso los repositorios que usaban los gerentes de secretos tenían una tasa de incidencia del 5.1% de secretos filtrados en 2024.
El problema requiere un enfoque integral que aborde todo el ciclo de vida de los secretos, combinando detección automatizada con procesos de remediación rápida e integrando la seguridad durante todo el flujo de trabajo de avance.
Como concluye nuestro mensaje, “el mensaje de expansión del estado de secretos de 2025 ofrece una advertencia marcada: a medida que las identidades no humanas se multiplican, todavía lo hacen sus secretos asociados, y los riesgos de seguridad. Los enfoques reactivos y fragmentados para la encargo de los secretos simplemente no son suficientes en un mundo de implementaciones automatizadas, código AI y suministro de aplicación rápida”.
