Gitguardian’ın 2025 için Sırlar Durumu Raporu, modern yazılım ortamlarında sırlara maruz kalmanın endişe verici ölçeğini ortaya koymaktadır. Bunu sürmek, yıllardır insan kullanıcılarından daha fazla olan insan olmayan kimliklerin (NHI) hızlı büyümesidir. Bundan öne geçmeli ve konuşlandırılmaya devam ederken bu makine kimlikleri için güvenlik önlemleri ve yönetişim hazırlamalıyız ve eşi görülmemiş bir güvenlik riski seviyesi oluşturmalıyız.
Bu rapor, sadece 2024’te GitHub’da şaşırtıcı 23.77 milyon yeni sır sızdırıldığını ortaya koyuyor. Bu bir önceki yıla göre% 25 artış. Bu dramatik artış, hizmet hesapları, mikro hizmetler ve AI ajanları gibi insan olmayan kimliklerin (NHI) çoğalmasının tehdit aktörleri için saldırı yüzeyini hızla genişlettiğini vurgulamaktadır.
İnsan olmayan kimlik krizi
API anahtarları, servis hesapları ve Kubernetes işçileri dahil NHI sırları, artık DevOps ortamlarında insan kimliklerinden daha fazla insan kimliklerinden daha fazladır. Bu makine tabanlı kimlik bilgileri modern altyapı için gereklidir, ancak yanlış yönetildiğinde önemli güvenlik zorlukları yaratır.
En önemlisi, maruz kalan kimlik bilgilerinin kalıcılığıdır. Gitguardian’ın analizi, 2022’de kamu depolarında ilk tespit edilen sırların% 70’inin bugün aktif kaldığını ve bu da kimlik bilgisi rotasyon ve yönetim uygulamalarında sistemik bir başarısızlığı gösterdiğini buldu.
Özel Depolar: Yanlış bir güvenlik duygusu
Kuruluşlar, kodlarının özel depolarda güvenli olduğuna inanabilir, ancak veriler farklı bir hikaye anlatır. Özel depoların, kamusal olanlardan yaklaşık 8 kat daha fazla sıradan daha fazladır. Bu, birçok ekibin uygun sır yönetimini uygulamak yerine “belirsizlik yoluyla güvenliğe” dayandığını göstermektedir.
Rapor, özel ve kamu depolarında sızan sır türlerinde önemli farklılıklar buldu:
- Jenerik sırlar, özel depolardaki tüm sızıntıların% 74,4’ünü ve halka açık olanlarda% 58’i temsil eder
- Jenerik şifreler, özel depolardaki tüm genel sırların% 24’ünü, kamu depolarındaki sadece% 9’a kıyasla oluşturmaktadır.
- AWS IAM Keys gibi kurumsal kimlik bilgileri özel depoların% 8’inde görünür, ancak halka açık olanların sadece% 1.5’i
Bu model, geliştiricilerin kamu kodu ile daha temkinli olduklarını, ancak genellikle korunduğuna inandıkları ortamlarda köşeleri kestiğini göstermektedir.
AI Araçları Sorunu kötüleştiren
GitHub Copilot ve diğer AI kodlama asistanları verimliliği artırabilir, ancak güvenlik risklerini de artırırlar. Kopilot özellikli depoların, AI yardımı olmayan depolara kıyasla% 40 daha yüksek gizli sızıntı oranına sahip olduğu bulunmuştur.
Bu rahatsız edici istatistik, AI destekli gelişimin, kod üretimini hızlandırırken, geliştiricileri güvenlik üzerindeki hıza öncelik vermeye teşvik edebileceğini ve kimlik bilgilerini geleneksel kalkınma uygulamalarının önleyebileceği şekilde yerleştirmeye teşvik edebileceğini düşündürmektedir.
Docker Hub: 100.000+ geçerli sırlar maruz kaldı
Docker Hub’dan 15 milyon halka açık Docker görüntüsünün benzeri görülmemiş bir analizinde, Gitguardian AWS anahtarları, GCP anahtarları ve Fortune 500 şirketlerine ait GitHub tokenleri de dahil olmak üzere 100.000’den fazla geçerli sır keşfetti.
Araştırma, bu geçerli sırların% 97’sinin sadece görüntü katmanlarında keşfedildiğini ve çoğu 15MB’den küçük katmanlarda göründüğünü buldu. Env talimatları tek başına tüm sızıntıların% 65’ini oluşturdu ve konteyner güvenliğinde önemli bir kör noktayı vurguladı.
Kaynak Kodunun Ötesinde: İşbirliği Araçlarındaki Sırlar
Gizli sızıntılar kod depolarıyla sınırlı değildir. Raporda, Slack, Jira ve Confluence gibi işbirliği platformlarının kimlik bilgisi maruziyeti için önemli vektörler haline geldiğini buldu.
Endişe verici bir şekilde, bu platformlarda bulunan sırlar, kaynak kodu depolarındakilerden daha kritik olma eğilimindedir, olayların% 38’i kaynak kod yönetim sistemlerinde% 31’e kıyasla son derece kritik veya acil olarak sınıflandırılmıştır. Bu kısmen bu platformlar modern kaynak kodu yönetim araçlarında bulunan güvenlik kontrollerinden yoksundur.
Endişe verici bir şekilde, işbirliği araçlarında bulunan sırların sadece% 7’si de kod tabanında bulunur, bu da bu sır alanının çoğunun gizli tarama araçlarının hafifletemediği benzersiz bir zorluk haline getirilmesini sağlar. Ayrıca, bu sistemlerin kullanıcılarının tüm departman sınırlarını aştığı gerçeğinden de bıkkındır, yani herkes bu platformlara potansiyel olarak kimlik bilgilerini sızdırıyor.
İzin sorunu
Riski daha da kötüleştiren Gitguardian, sızdırılmış kimlik bilgilerinin sıklıkla aşırı izinler olduğunu buldu:
- GitLab API anahtarlarının%99’unda tam erişim (%58) veya salt okunur erişim (%41) vardı
- Github jetonlarının% 96’sı yazma erişimi vardı,% 95’i tam depo erişimi sunuyor
Bu geniş izinler, sızdırılan kimlik bilgilerinin potansiyel etkisini önemli ölçüde artırarak saldırganların yanal olarak hareket etmesini ve ayrıcalıkları daha kolay artırmasını sağlar.
Sır yayılımı döngüsünü kırmak
Kuruluşlar gizli yönetim çözümlerini giderek daha fazla kabul ederken, rapor bu araçların tek başına yeterli olmadığını vurgulamaktadır. Gitguardian, sır yöneticileri kullanan depoların bile 2024’te% 5,1 sızan sır insidans oranına sahip olduğunu buldu.
Sorun, tüm sırların yaşam döngüsünü ele alan, otomatik algılamayı hızlı iyileştirme süreçleriyle birleştiren ve geliştirme iş akışı boyunca güvenliği entegre eden kapsamlı bir yaklaşım gerektirir.
Raporumuzun sonuçlandığı gibi, “2025 Sırlar Durumu Yayılma Raporu keskin bir uyarı sunuyor: İnsan olmayan kimlikler çoğaldıkça, bunların ilişkili sırlarını ve güvenlik risklerini de yapın. Sır yönetimine reaktif ve parçalanmış yaklaşımlar otomatik konuşlandırmalar, AI-jenerasyonlu kod ve hızlı uygulama sunumu dünyasında yeterli değildir.”