02.04.2024  Экспертиза, Безопасность, Менеджмент

Жесткое встраивание (хардкодинг) корпоративных секретов в код — серьезный риск безопасности, которого можно избежать, пишет на портале The New Stack Роберт Керли, менеджер по маркетингу продуктов компании Sonar. Слишком часто в выпущенном коде обнаруживаются секреты, подвергающие его владельца риску безопасности. К таким секретам относятся пароли, ключи API, ключи шифрования, токены, учетные данные баз данных и другая конфиденциальная информация компании. Наличие жестко закодированных в исходном коде секретов опасно, однако, несмотря на самые серьезные усилия разработчиков, секреты все равно могут туда прокрасться. Разработчики могут использовать при написании кода короткие обходные пути (шорткаты) и помещать в них секреты, или они могут не осознавать риски размещения секретов в своем коде. Кроме того, большинство решений для сканирования кода оставляют разработчику право определять, почему его код был отмечен как проблемный. И наконец, большинство инструментов ищут секреты в репозиториях кода уже после того, как утечка произошла, что приводит к болезненному исправлению ситуации (например, замене секрета). Правильное управление, хранение и защита секретов могут быть сложными, непонятными или просто опущенными из-за нехватки времени. Кроме того, если компании не знают, когда и где секреты попадают в проекты, они не могут предотвратить их разглашение вместе с проектом и подрыв его безопасности. Утечки учетных данных и других секретов, проникших в код, регулярно попадают ... читать далее.