根據(jù)GitGuardian最新發(fā)布的《2022年機(jī)密蔓延（secretsspraw）態(tài)勢(shì)研究》報(bào)告數(shù)據(jù)顯示，與2021年相比，2022年在GitHub公開提交的軟件代碼中，發(fā)現(xiàn)了超過(guò)1000萬(wàn)條新增加的機(jī)密信息；同時(shí)，在軟件程序中檢測(cè)到的硬編碼機(jī)密數(shù)量同比增加了67%，其中，賬號(hào)信息、高熵機(jī)密和密碼是暴露最多的機(jī)密類型。
　　這種不斷加劇的機(jī)密蔓延態(tài)勢(shì)不僅嚴(yán)重威脅了企業(yè)軟件供應(yīng)鏈安全，同時(shí)，還會(huì)引發(fā)其他一系列嚴(yán)重的安全問(wèn)題，包括數(shù)據(jù)竊取、勒索攻擊等。而更糟糕的是，機(jī)密蔓延還導(dǎo)致企業(yè)既不能事前防御機(jī)密泄露，也難以事后快速進(jìn)行問(wèn)題修復(fù)。

　　機(jī)密蔓延的危害

　　在網(wǎng)絡(luò)安全環(huán)境中，機(jī)密泛指可以用來(lái)管理和訪問(wèn)信息化系統(tǒng)的各種敏感信息，如密碼、用戶名、API令牌、數(shù)字證書等。這些信息僅供特定人員在特定場(chǎng)景中使用，而且應(yīng)該被嚴(yán)格保密。

　　機(jī)密蔓延就是指將這些“機(jī)密”信息以不安全形式存放在許多不合規(guī)的地方。例如，將生產(chǎn)環(huán)境的數(shù)據(jù)庫(kù)用戶名、密碼以明文形式編碼在配置文件中，或是保存在生產(chǎn)環(huán)境中某個(gè)開放性配置管理服務(wù)中；或者將某個(gè)云服務(wù)調(diào)用所用的令牌硬編碼在程序代碼里，并上傳到公共的Github代碼倉(cāng)庫(kù)中等。久而久之，組織即不知道哪些系統(tǒng)保存了機(jī)密，也不知道哪些機(jī)密被哪些系統(tǒng)和人獲取。即便是發(fā)現(xiàn)某個(gè)機(jī)密信息被盜用，也無(wú)法回溯該機(jī)密是如何被竊取。

　　一旦出現(xiàn)較嚴(yán)重的機(jī)密蔓延情況，企業(yè)組織會(huì)在很多方面面臨潛在的安全威脅。

　　01數(shù)據(jù)泄露

　　在多個(gè)位置上分布敏感數(shù)據(jù)意味著企業(yè)必須保護(hù)好每個(gè)位置的安全，否則就會(huì)面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。而當(dāng)企業(yè)需要處理分布在不同區(qū)域的多個(gè)數(shù)據(jù)集時(shí)，問(wèn)題會(huì)變得更具挑戰(zhàn)性，除非企業(yè)有無(wú)限的資源和專業(yè)人員。

　　02缺乏控制

　　機(jī)密蔓延意味著企業(yè)將敏感信息存儲(chǔ)在多個(gè)位置，能夠訪問(wèn)這些區(qū)域的每個(gè)人，都有可能獲取到相關(guān)的數(shù)據(jù)。在這種情況下，即使其他用戶沒有惡意目的，他們也可能在無(wú)意中暴露或破壞數(shù)據(jù)。缺乏對(duì)機(jī)密信息訪問(wèn)的有效控制屬于高危風(fēng)險(xiǎn)，會(huì)讓企業(yè)陷入嚴(yán)重的安全隱患中。

　　03數(shù)據(jù)不一致

　　當(dāng)企業(yè)處理多個(gè)數(shù)據(jù)集時(shí)，數(shù)據(jù)一致性是關(guān)鍵；否則，處理結(jié)果將會(huì)出現(xiàn)偏差。由于企業(yè)將機(jī)密信息分布在多個(gè)不同的位置，就會(huì)導(dǎo)致數(shù)據(jù)處理不一致的情況出現(xiàn)。例如，當(dāng)企業(yè)在四個(gè)不同的位置存儲(chǔ)了API令牌，工作人員可能會(huì)因?yàn)楣ぷ餍枰谀骋粋€(gè)位置對(duì)令牌進(jìn)行更改，而忘記同步更改其它三個(gè)位置的令牌。當(dāng)其他人員需要再次使用它們時(shí)，就會(huì)遇到故障和偏差。

　　04降低可訪問(wèn)性

　　可訪問(wèn)性直接影響企業(yè)數(shù)字化工作的質(zhì)量和效果?？焖贆z索所需的信息可以幫助員工提高工作效率。但是，在機(jī)密蔓延的情況下，業(yè)務(wù)人員往往不知道去哪里尋找所需要的機(jī)密信息。在每次使用前，員工都可能需要耗費(fèi)很多時(shí)間去尋找所需的信息。

　　防范機(jī)密蔓延的建議

　　鑒于機(jī)密蔓延對(duì)數(shù)字化發(fā)展的諸多危害，企業(yè)組織應(yīng)該采取積極措施應(yīng)對(duì)和預(yù)防：

　　01采用集中式存儲(chǔ)系統(tǒng)

　　將敏感信息存儲(chǔ)于“孤島”中弊大于利。防止機(jī)密蔓延的基礎(chǔ)要求就是采用一個(gè)集中式存儲(chǔ)系統(tǒng)，并在這個(gè)系統(tǒng)中集中統(tǒng)一存儲(chǔ)所有的機(jī)密。例如，AmazonWebServices（AWS）機(jī)密管理器就是一個(gè)很好的選擇。集中式存儲(chǔ)系統(tǒng)可以幫助企業(yè)在一個(gè)地方組織和保護(hù)敏感數(shù)據(jù)。企業(yè)需要了解或使用任何機(jī)密信息，也能清楚地知道去哪里找，從而讓業(yè)務(wù)開展變得更加高效。

　　02對(duì)機(jī)密信息進(jìn)行加密

　　無(wú)論機(jī)密信息存放在哪里，對(duì)它進(jìn)行加密可以為其賦予安全性，使其不易受到損害。一個(gè)有效的機(jī)密信息管理工具可以提供安全加密服務(wù)，將機(jī)密信息放在一個(gè)安全的集中式存儲(chǔ)系統(tǒng)中是一個(gè)非常有效的安全措施。

　　03部署機(jī)密掃描工具

　　機(jī)密蔓延并非都是有意為之。企業(yè)可能并不希望將敏感信息到處亂放，但往往還是會(huì)不可避免地發(fā)生了。當(dāng)一條機(jī)密信息已經(jīng)存在于您的系統(tǒng)中，但如果企業(yè)看不到它，就會(huì)去創(chuàng)建另一個(gè)副本。防止機(jī)密蔓延的有效方法是部署一個(gè)機(jī)密掃描工具，以檢測(cè)企業(yè)的機(jī)密信息何時(shí)被有意或無(wú)意地復(fù)制。

　　04創(chuàng)建強(qiáng)有力的訪問(wèn)控制

　　要維護(hù)敏感數(shù)據(jù)的隱私，必須使用有效的訪問(wèn)控制來(lái)控制對(duì)該數(shù)據(jù)的訪問(wèn)。在“需要知道（need-to-know）”的基礎(chǔ)上授予用戶訪問(wèn)權(quán)限。如果他們沒有業(yè)務(wù)使用需求，則限制他們進(jìn)入這些領(lǐng)域。即使是對(duì)開發(fā)人員，也要將他們限制在工作所需的領(lǐng)域內(nèi)，這樣他們就不能輕易接觸到企業(yè)的所有機(jī)密信息。

　　參考鏈接：

　　??https://www.makeuseof.com/what-is-secret-sprawl/??

　　??https://www.csoonline.com/article/3689892/hard-coded-secrets-up-67-as-secrets-sprawl-threatens-software-supply-chain.html?