El informe anual de GitGuardian sobre la propagación de secretos revela que en 2023, más de 10 millones de contraseñas, claves API y otras credenciales fueron expuestas en GitHub. Este año, el informe destaca que se encontraron 12,8 millones de secretos expuestos en GitHub y también en PyPI, un popular repositorio de paquetes de Python.
PyPI es el índice de paquetes de Python que alberga más de 20 terabytes de archivos útiles para los proyectos de Python. El informe encuentra que el 90% del código utilizado en producción hoy en día son paquetes de código abierto, lo que ayuda a los desarrolladores a ahorrar tiempo al no tener que crear algo que ya existe.
En el informe de 2024, GitGuardian identificó más de 11,000 secretos únicos expuestos en su plataforma, 1,000 de ellos en PyPI en 2023. Si bien esta cifra es relativamente baja en comparación con los 12,8 millones de secretos filtrados en GitHub, es preocupante que cien secretos introducidos en 2017 sigan siendo válidos seis o siete años después.
Aunque no se examinaron todos los secretos identificados, GitGuardian encontró más de 300 secretos únicos y válidos, lo que representa una amenaza desconocida para los propietarios de los paquetes. Los detectores de secretos de la plataforma hallaron llaves API de OpenAI, Google y Google Cloud.
Si se publica una llave en un repositorio público como GitHub o PyPI, se considera comprometida. Los honeytokens, un tipo de llave «deshabilitada» que no permite el acceso a ningún recurso, son probados por bots en cualquier momento después de su publicación en GitHub. La preocupación principal no es que un actor malintencionado cargue su nube con cargos excesivos, sino hacia dónde puede dirigirse desde allí.
Para evitar la publicación de secretos en el código fuente, se deben seguir ciertas reglas al almacenar o publicar el código, como no incluir secretos en texto plano y mantener las credenciales secretas restringidas. Utilizar herramientas como las que ofrece GitGuardian puede garantizar una adecuada gestión de los secretos y evitar depender de humanos imperfectos.
Vía The Hacker News