去年GitHub上数百万个机密和授权密钥被泄露

新研究表明，2023年GitHub上数百万个机密和身份验证密钥被泄露，但大多数开发人员即使在收到事故通知后也不愿意撤销它们。

GitGuardian是一个通过自动机密检测和补救帮助开发人员确保其软件开发安全的项目，其一份报告称，2023年，GitHub用户意外泄露了300多万个公共存储库中的1280万个机密。

这些秘密包括账户密码、API密钥、TLS/SSL证书、加密密钥、云服务凭证、OAuth令牌等。

在开发阶段，许多IT专业人员会硬编码不同的身份验证密钥，以简化工作。但是，他们经常忘记在GitHub上发布代码之前删除这些密钥。因此，如果有恶意行为者发现这些密钥，他们就可以轻松访问私人资源和服务，这可能导致数据泄露和类似事件。

印度是泄密事件最多的国家，其次是美国、巴西、中国、法国和加拿大。绝大多数泄密事件来自IT行业(65.9%)，其次是教育行业(20.1%)。其余14%分布在科学、零售、制造、金融、公共管理、医疗保健、娱乐和交通运输领域。

任何人都有可能犯错，将机密硬编码——但之后发生的事情可能更令人担忧。只有2.6%的机密在一小时内被撤销——几乎所有其他机密(91.6%)在五天后仍然有效，当GitGuardian停止跟踪其状态时。更糟糕的是，该项目向不同的开发人员和公司发送了180万封电子邮件，告他们其发现的问题，但只有1.8%的人做出了回应，从代码中删除了机密。