En la última edición de la serie de podcasts de Threatpost, Mackenzie Jackson de GitGuardian discute las conclusiones del reciente informe 'Estado del Espread de Secretos'. El informe subraya que mientras muchas organizaciones se dan cuenta de los riesgos asociados con plataformas como GitHub, otras menos conocidas también representan una amenaza significativa.
Jackson explica que los secretos en el desarrollo de software se refieren a credenciales de autenticación digitales como claves API y certificados de seguridad. Estos son fundamentales para asegurar el acceso a servicios, sistemas y datos dentro de las aplicaciones. Pueden compararse con 'joyas del trono' debido a su papel crítico; sin embargo, si se mal administran o expusieran, pueden proporcionar a actores malintencionados acceso no autorizado a sistemas internos, causando graves violaciones de seguridad.
El informe destaca la necesidad de que las organizaciones adopten un enfoque vigilante para el manejo de secretos en todos los entornos, incluyendo plataformas menos comúnmente monitoreadas. Esto asegura que la información sensible permanezca protegida contra exposición y explotación por ciberdelincuentes.
Por ejemplo, el informe señala que los secretos a menudo se encuentran en fuentes no tradicionales como archivos de configuración, variables de entorno e incluso historias de commits. Estas ubicaciones ocultas a menudo son pasadas por alto durante auditorías de seguridad, creando posibles vulnerabilidades.
El informe también subraya que el Espread de Secretos puede afectar a una amplia gama de plataformas y herramientas, desde bases de datos hasta servidores y sistemas operativos. Esto refuerza la necesidad de una vigilancia constante y medidas proactivas para proteger los secretos vitales del desarrollo de software.