Çoğu kişi Schrödinger’in Kedisi kavramına aşinadır; varsayımsal bir kedinin radyoaktif bir madde ve radyoaktif madde bozunduğunda zehir yayan bir cihazla dolu bir kutuya kapatıldığı bir düşünce deneyi. Deney, kedinin aynı anda hem canlı hem de ölü olarak kabul edilebileceği bir kuantum paradoksunu göstermek için tasarlandı çünkü kedinin kaderi meydana gelebilecek (ya da gelmeyebilecek) rastgele bir olaya bağlı.
Bunun modern yazılım geliştirmeyle ne ilgisi var? Bu, kodun içine yerleştirilmiş sırlarla ilgili giderek daha kritik hale gelen bir riski yansıtıyor. Bu hayalet sırların büyük siber güvenlik sorunlarına neden olma potansiyeli var, ancak endişe verici sayıda geliştirici bunların varlığından haberdar değil. Birçoğu bunların uzun süre önce silindiğini varsayar, ancak taahhüt geçmişinin derinliklerini inceleyene kadar emin olamazlar.
Hayalet sırlar nelerdir?
Geliştirme veya test sırasında geliştiriciler genellikle kimlik bilgileri, API belirteçleri ve geçiş anahtarları gibi hassas sırları, çoğunlukla kolaylık sağlamak amacıyla doğrudan kodlarına yerleştirir. Elbette, kodun üretime aktarılmadan önce bu hassas sırların kaldırılması gerektiğini söylemeye gerek yok. Bunu yapmak için geliştiriciler genellikle zamanı geldiğinde bunları bulup silen tarama araçlarına güvenir.
Bununla birlikte, pek çok tarayıcı sırların varlığını ve kazara açığa çıkmaları tespit edebilse de, bu araçların endişe verici bir kısmı tarafından gözden kaçırılan gizli bir tehdit vardır; sırlar kaldırıldıktan sonra bile işleme geçmişinden alınabilirler.
Bu sorun Git tabanlı altyapıdaki temel bir tasarım hatasından kaynaklanmaktadır ve bu mimari GitHub, GitLab ve Bitbucket dahil olmak üzere çoğu Kaynak Kodu Yönetimi (SCM) sisteminin temelini oluşturduğundan neredeyse tüm popüler DevOps platformlarını etkilemektedir. Aslında Aqua Nautilus’un son araştırması, yalnızca GitHub’da Fortune 500 şirketlerine ait çok sayıda sırrı ortaya çıkardı.
Bunun sonuçları son derece endişe vericidir. Saldırganlar, bir kuruluşun ortamında yanal olarak hareket etmek, ayrıcalıkları yükseltmek ve hassas verilere erişim sağlamak için bu açığa çıkan sırlardan faydalanmakla kalmıyor, aynı zamanda çoğu tarama aracı şu anda bu tehdidi hiçbir şekilde tespit edemiyor.
Sır tarama araçları neden sırları gözden kaçırıyor?
Geliştiriciler SCM’lerinde gizli taramayı çalıştırdıklarında çoğu zaman, git clone komutunu aktif olarak veya tarama aracının iç kısmındaki perde arkasında kullanacaklardır.
Git ve SCM platformlarının uç durumları veya tasarım seçimleri nedeniyle, git clone komutunu kullanırken geliştiriciler, taranmamış ve erişilemez kalan bazı taahhütleri kaçıracaktır. Bu durumda bu taahhütler keşfedilmeyecek sırlar içerebilir.
GitHub, çok sayıda halka açık depoya sahip popüler bir platformdur. Bu nedenle, genellikle büyük sır toplama kampanyaları başlatan saldırganlar tarafından hedef alınır. Ancak sorun kesinlikle yalnızca GitHub ile sınırlı değil.
İlginç bir şekilde, GitHub belgelerinde hassas verilerin farklı senaryolar yoluyla ifşa edilebileceğini açıkça belirtiyor ancak bu ifşanın nasıl ve neden gerçekleştiğini açıklamıyor. Kullanıcılar için bunun nasıl gerçekleştiği ve açığa çıkan bu hassas verilerin nasıl bulunacağı açık değildir.
Riski göstermek için Aqua Nautilus yakın zamanda kaç tane gizli sırrın var olduğuna dair ayrıntılı bir analiz gerçekleştirdi. Analiz, GitHub’daki yıldız sayısına göre sıralanan ve toplamda 52.268 farklı depoya sahip en iyi 100 kuruluşun taranmasını içeriyordu. Depolar öncelikle git clone kullanılarak Gitleaks ile tarandı, ardından git clone –mirror kullanılarak tekrar tarandı. Daha sonra benzersiz sırların sayısı, yani yalnızca havuzun yansıtılmış versiyonunda bulunanlar sayıldı. Analiz, kullanıcıların yalnızca normal bir git klonu kullanarak sırları taraması durumunda, depolarındaki potansiyel sırların yaklaşık %17,78’ini kaçıracaklarını buldu; bu şaşırtıcı bir rakam.
Tarihsel gizli taramayla gözden kaçırmaları ortadan kaldırın
Neyse ki, artık birçok tarama aracının doğasında olan gözden kaçırmaları ortadan kaldırmanın bir yolu var: tarihi sırların taranması. Aqua Trivy gibi önde gelen sır tarama çözümlerinde bulunan bu yeni teknoloji, koddan silinmiş olsa da taahhüt geçmişinde erişilebilir kalan sırları tanımlamak ve ele almak için tasarlanmıştır.
Tarihsel gizli tarama, geleneksel tarayıcıların gözden kaçırdığı gizli veya silinmiş sırları ortaya çıkarmak için taahhüt geçmişini kapsamlı bir şekilde tarayıp analiz ederek çalışır ve ekiplerin bu riskleri kesin olarak ortadan kaldırmasına olanak tanır. Bu yaklaşımın temel faydaları arasında kör noktalar olmadan tüm sırların eksiksiz bir görünümü, yalnızca geleneksel tarayıcıları çok aşan gelişmiş algılama, hayalet sırların ortadan kaldırılması yoluyla azaltılmış saldırı yüzeyi ve çok daha güçlü genel kod güvenliği yer alır.
Geliştiricilerin, koda gömülü kimlik bilgilerinin, API belirteçlerinin ve geçiş anahtarlarının, silindiklerini düşündükten sonra bile uzun yıllar boyunca açığa çıkabileceğini fark etmeleri kritik önem taşıyor. Bu sırların gömülü olduğu bir yazılımın yayınlanması önemli bir güvenlik riski oluşturur. Neyse ki, tarihsel gizli taramanın benimsenmesi, taahhüt geçmişinin derinliklerinde gömülü olanlar da dahil olmak üzere, kör noktalar olmadan tüm gizlilerin tam gözetimini elde etmenin harika bir yoludur. Bu gözetim, geliştiricilere ve kuruluşlara bu riskleri uygun şekilde azaltma yeteneği vererek siber saldırılara maruz kalmalarını azaltmaya ve süreçteki güvenlik duruşlarını önemli ölçüde güçlendirmeye yardımcı olur.
Reklam