依据GitGuardian和CyberArk的说法,非人类身份的激增和现代运行架构的复杂性带来了严重的安保应战,尤其是在治理敏感凭据方面。
该报告基于对美国、英国、德国和法国领有500多名员工的企业中的1000名IT决策者的考查,提醒了人们对秘密暴露关系危险的看法和担忧清楚参与。
秘密暴露事情始终回升
79%的受访者示意,他们曾教训过或通晓企业外部出现秘密暴露事情,这一比例较上一年度的75%有所回升,这凸显了这一安保应战日益广泛。企业正在经过少量调配资源来应答这些应战,平均将32.4%的安保估算用于秘密治理和代码安保。
77%的受访者示意,他们目前正在投资或方案在2025年前投资秘密治理工具,其中75%专一于秘密检测和修停工具,这标明他们努力于直面这一疑问。
74%的受访者示意,他们已实施至少局部成熟的战略来防止秘密暴露,但是,23%(较2023年的27%有所降低)的受访者仍依赖人工审查或缺乏明白的战略,这标明一些企业在看法或被动措施方面存在令人担忧的缺失。
75%的受访者对企业检测和防止源代码中硬编码秘密的才干示意中度至高度信念。在美国,这一信念水平甚至更高,到达84%。平均而言,受访者还示意,他们每年能够轮换36%的秘密。
修复暴露秘密的平均期间为27天,但是,GitGuardian的数据显示,实施秘密检测和修复处置方案可以在一年内将这一期间清楚缩短至约13天。
对AI和供应链危险的担忧日益加剧
43%担忧代码库中暴露参与的受访者强调了AI学习并复制蕴含敏感信息的形式的危险,此外,32%的受访者以为经常使用硬编码秘密是其软件供应链中的一个关键危险点。
雷同令人担忧的是人为要素,39%的受访者担忧对AI生成的代码启动的安保审查无余,这标明AI辅佐的速度和适当的安保通常之间存在关键差距。对AI高低文感知(37%)和异常接受硬编码秘密(36%)的亲密关系担忧进一步强调,AI才干和安保要求的交汇为潜在的敏感信息暴露提供了多个路径,企业须要踊跃应答。
GitGuardian首席口头官Eric Fourrier示意:“咱们2024年的报告结果强调了秘密暴露要挟始终更新,以及须要持重的智能化处置方案来降低这些危险。虽然对秘密治理的投资始终参与令人鼓舞,但企业必定优先实施包括早期检测、极速修复以及剧烈关注开发人员教育和最佳通常在内的片面战略。企业必定踊跃处置这些担忧,并增强其安保态势,以包全其敏感数据并坚持竞争长处。”
CyberArk机器身份安保总经理Kurt Sand示意:“安保指导者日益看法到包全机器身份和消弭硬编码秘密的关键性,这令人鼓舞,但是,近四分之一的受访者仍经常使用手动系统来处置暴露,这标明须要经过智能化来提高安保性、修复效率和效劳。随着对AI的需求继续推进机器身份的参与,企业须要可裁减的智能化机器身份安保方法。”
虽然企业在秘密治理方面体现出更高的看法和投资——77%方案在2025年前投资关系工具——但秘密暴露事情的始终参与(79%的企业)标明,随着数字化转型的推进,这一应战仍在继续加剧。