GitGuardian Raporu: Sızdırılan Sırların %70'i İki Yıl Aktif Kalıyor, Acil Düzeltme Çağrısı Yapılıyor

**BOSTON, ABD, 11 Mart 2025/CyberNewsWire/--**GitHub'ın en çok yüklenen uygulamasının arkasındaki güvenlik lideri GitGuardian, bugün kapsamlı "2025 State of Secrets Sprawl Report"unu yayınladı ve her ölçekteki kuruluşu tehdit eden yaygın ve kalıcı bir güvenlik krizini ortaya koydu. Rapor, sızdırılan sırlarda bir önceki yıla göre %25'lik bir artış olduğunu ve yalnızca 2024'te genel GitHub'da 23,8 milyon yeni kimlik bilgisinin tespit edildiğini ortaya koyuyor. Kurumsal güvenlik liderleri için en endişe verici olanı: 2022'de sızdırılan sırların %70'i bugün hala aktif ve her geçen gün daha da tehlikeli hale gelen genişleyen bir saldırı yüzeyi oluşturuyor.

GitGuardian CEO'su Eric Fourrier, "Sızdırılan sırların patlaması, siber güvenlikteki en önemli ancak hafife alınan tehditlerden birini temsil ediyor," dedi. "Karmaşık sıfır günlük istismarların aksine, saldırganların bu güvenlik açıklarını istismar etmek için gelişmiş becerilere ihtiyacı yoktur; yalnızca ifşa edilmiş bir kimlik bilgisi, kritik sistemlere ve hassas verilere sınırsız erişim sağlayabilir." Eric Fourrier, 2024 ABD Hazine Bakanlığı ihlalini bir uyarı olarak gösteriyor: "BeyondTrust'tan sızdırılan tek bir API anahtarı, saldırganların hükümet sistemlerine sızmasına izin verdi. Bu karmaşık bir saldırı değildi; milyonlarca güvenlik yatırımını atlatan basit bir ifşa edilmiş kimlik bilgisi vakasıydı."

Güvenlik Liderleri İçin Önemli Bulgular

Raporda, acil dikkat gerektiren birkaç kritik eğilim tespit ediliyor:

Kör Nokta: Genel Sırlar

GitHub'ın Push Protection'ı geliştiricilerin bilinen gizli kalıpları tespit etmesine yardımcı olmasına rağmen, sabit kodlanmış parolalar, veritabanı kimlik bilgileri ve özel kimlik doğrulama belirteçleri dahil olmak üzere genel sırlar artık tespit edilen tüm sızıntıların yarısından fazlasını temsil ediyor. Bu kimlik bilgileri standart kalıplardan yoksundur ve bu da bunların geleneksel araçlarla tespit edilmesini neredeyse imkansız hale getirir.

Özel Depolama Alanları: Sahte Bir Güvenlik Duygusu

Analiz çarpıcı bir gerçeği ortaya koyuyor: Taranan tüm özel depoların tam %35'i en azından bir düz metin sırrı içeriyor ve bu, özel depoların güvenli olduğu yönündeki yaygın varsayımı yerle bir ediyor:

• AWS IAM anahtarları özel depoların %8,17'sinde düz metin olarak göründü; bu, genel olanlara göre 5 kat daha sıktı (%1,45)
• Genel parolalar, genel olanlara kıyasla (%8,94) özel depolarında neredeyse 3 kat daha sık (24,1%) göründü
• MongoDB kimlik bilgileri, genel depolarında en sık sızdırılan gizli bilgi türüydü (%18,84)

"Özel kod depolarındaki sızdırılmış sırlar tehlikeye atılmış olarak ele alınmalıdır," diye vurguladı Eric Fourrier. "Güvenlik ekipleri, sırların nerede bulunduklarına bakılmaksızın hassas veri olarak ele alınması gerektiğini kabul etmelidir."

Kodun Ötesinde: Sırlar SDLC'nin Her Yerine Yayılıyor

Sabit kodlanmış sırlar her yerdedir, ancak özellikle güvenlik kontrollerinin genellikle daha zayıf olduğu işbirliği platformları ve kapsayıcı ortamlar gibi güvenlik kör noktalarında daha da yaygındır:

• Slack: Analiz edilen çalışma alanlarındaki kanalların %2,4'ü sızdırılmış sırlar içeriyordu
• Jira: Biletlerin %6,1'i kimlik bilgilerini ifşa ediyor ve bu da onu en savunmasız işbirliği aracı haline getiriyor
• DockerHub: Tespit edilen sırların %98'i yalnızca görüntü katmanlarına gömüldü ve şu anda 7.000'den fazla geçerli AWS anahtarı açığa çıktı

İnsan Olmayan Kimlik Krizi

API anahtarları, hizmet hesapları ve otomasyon belirteçleri dahil olmak üzere insan olmayan kimlikler (NHI'ler) artık çoğu kuruluşta insan kimliklerinden çok daha fazla sayıdadır. Ancak, bu kimlik bilgileri genellikle uygun yaşam döngüsü yönetimi ve rotasyonundan yoksundur ve bu da kalıcı güvenlik açıkları yaratır.

Fortune 500 şirketlerinden birindeki bir güvenlik lideri bu zorluğun farkındaydı: "Sırları yıllık olarak döndürmeyi hedefliyoruz ancak uygulama ortamımız genelinde zor. Bazı kimlik bilgileri yıllardır değişmeden kaldı."

Sır Yöneticileri: Tam Bir Cevap Değil

Gizli yönetim çözümleri kullanan kuruluşlar bile savunmasız kalmaya devam ediyor. Gizli yöneticilerden yararlanan 2.584 deponun incelendiği bir çalışma, %5,1'lik bir gizli sızıntı oranı ortaya koydu; bu, beklediğimiz sıfıra yakın orandan çok uzak. Bu, genel GitHub ortalaması olan %4,6'yı geçiyor.

Yaygın sorunlar şunlardır:

• Sır yöneticilerinden çıkarılan ve başka bir yere sabit kodlanan sırlar
• Gizli bilgi yöneticilerine yönelik güvenli olmayan kimlik doğrulaması, erişim kimlik bilgilerini açığa çıkarıyor
• Sırların birden fazla sır yöneticisine yayılması nedeniyle parçalanmış yönetim

İleriye Giden Yol: Kapsamlı Sır Güvenliği

AI tarafından üretilen kod, otomasyon ve bulut tabanlı geliştirme hızlandıkça, raporda sırların yayılmasının daha da yoğunlaşacağı öngörülüyor. GitHub'ın Push Protection'ı bazı sızıntıları azaltmış olsa da, özellikle genel sırlar, özel depolar ve iş birliği araçlarıyla ilgili önemli boşluklar bırakıyor.

"CISO'lar ve güvenlik liderleri için amaç sadece tespit etmek değil, bu güvenlik açıklarının istismar edilmeden önce düzeltilmesidir," diyor Eric Fourrier. "Bu, tüm kurumsal platformlarda otomatik keşif, tespit, düzeltme ve daha güçlü gizli bilgi yönetimini içeren kapsamlı bir yaklaşım gerektirir."

Rapor, kuruluşların sırların yayılmasını ele almak için kullanabileceği stratejik bir çerçeve ile son bulmaktadır:

• Tüm ortamlarda açığa çıkan kimlik bilgileri için izlemeyi dağıtma
• Merkezi sır tespiti ve düzeltmenin uygulanması
• Tüm kimlik bilgileri için yarı otomatik rotasyon politikalarının oluşturulması
• Güvenli kasa kullanımı için net geliştirici yönergeleri oluşturma

2025 Sırların Yayılma Durumu Raporu'nun tamamını okumak için kullanıcılar şu adresi ziyaret edebilir: GitGuardian.com .

Ek kaynaklar

GitGuardian - Web Sitesi

Sırların Durumu Yayılması 2025

GitGuardian Hakkında

GitGuardian yazılım odaklı kuruluşların İnsan Olmayan Kimlik (NHI) güvenliklerini geliştirmelerini ve sektör standartlarına uymalarını sağlayan uçtan uca bir NHI güvenlik platformudur. Saldırganların hizmet hesapları ve uygulamalar gibi NHI'leri giderek daha fazla hedeflemesiyle GitGuardian, Secrets Security ve NHI Governance'ı entegre eder.

Bu ikili yaklaşım, geliştirme ortamlarınızdaki tehlikeye atılmış sırların tespit edilmesini sağlarken aynı zamanda insan olmayan kimlikleri ve sırlarının yaşam döngülerini de yönetir. Platform, dünyanın en çok yüklenen GitHub uygulamasıdır ve 450'den fazla sır türünü destekler, sızdırılan veriler için genel izleme sunar ve ek savunma için honeytoken'lar dağıtır. 600.000'den fazla geliştirici tarafından güvenilen GitGuardian, Snowflake, ING, BASF ve Bouygues Telecom gibi önde gelen kuruluşların sağlam sır koruması için tercihidir.

Temas etmek

Medya İletişimi

Holly Hagerman

Pazarlamayı Bağla

hollyh@connectmarketing.com

+1(801) 373-7888