L’analisi di GitGuardian è spietata: su GitHub ci sono dieci milioni di secret/token/password esposti

0

GitGuardian è un’azienda il cui omonimo prodotto di punta si occupa di cercare all’interno dei repository analizzati l’esposizione di potenziali dati sensibili, siano questi secret, token o semplici password.

GitGuardian fornisce una piattaforma SaaS (Software As A Service) utilizzata da svariati utenti, pertanto è presumibile che le analisi derivanti dal suo utilizzo forniscano un termometro piuttosto affidabile sullo stato della sicurezza delle applicazioni nell’era del cloud native.

Vale quindi la pena spendere qualche minuto per leggere “The state of secrets sprawl“, una dettagliata analisi in merito allo stato della diffusione dei dati sensibili nelle applicazioni, e quindi della loro intrinseca insicurezza.

Il dato che balza all’occhio è il primo fornito: nel 2022 c’è stato un incremento del 67% dei secret rilevati all’interno dei commit GitHub, se vi state chiedendo a quanto ammonti il numero è presto detto: dieci milioni di secret rilevati. Un numero impressionante, solo parzialmente giustificabile dall’incremento dei repository analizzati (+20%).

I numeri sono davvero impietosi:

Nello studio sono citati diversi major incidents avvenuti nel 2022, divisi in tre principali categorie:

  1. Secret scoperti in seguito ad attacchi.
  2. Furto di repository di codice.
  3. Secret esposti pubblicamente.

Quindi sì, il problema di avere le password in chiaro nel proprio codice è presente (vedi il caso di Toyota), ma non è il solo motivo di preoccupazione.

Sono citati gli attacchi subiti da Uber e CircleCI per la prima categoria, i casi di furto subiti tra gli altri da NVIDIA e Samsung.

Insomma, ce n’è davvero per tutti i gusti ed ovviamente, ma qui è chiaro come ognuno giustamente tiri l’acqua al suo mulino (dopo tutto è di un report sulla mancanza di sicurezza fatto da un’azienda di sicurezza che stiamo parlando), la conclusione è che in quest’epoca dell’informatica non si può più prescindere da analisi costanti e continue in termini di sicurezza sul codice che si produce.

È chiaro come l’idea “ma tanto il mio è un repository privato” non sia solamente del tutto sbagliata, ma più che altro pericolosa.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.