根據GitGuardian最新發布的《2022年機密蔓延（secrets spraw）態勢研究》報告數據顯示，與2021年相比，2022年在GitHub公開提交的軟件代碼中，發現了超過1000萬條新增加的機密信息；同時，在軟件程序中檢測到的硬編碼機密數量同比增加了67%，其中，賬號信息、高熵機密和密碼是暴露最多的機密類型。

這種不斷加劇的機密蔓延態勢不僅嚴重威脅了企業軟件供應鏈安全，同時，還會引發其他一系列嚴重的安全問題，包括數據竊取、勒索攻擊等。而更糟糕的是，機密蔓延還導致企業既不能事前防御機密泄露，也難以事后快速進行問題修復。

機密蔓延的危害

在網絡安全環境中，機密泛指可以用來管理和訪問信息化系統的各種敏感信息，如密碼、用戶名、API令牌、數字證書等。這些信息僅供特定人員在特定場景中使用，而且應該被嚴格保密。

機密蔓延就是指將這些“機密”信息以不安全形式存放在許多不合規的地方。例如，將生產環境的數據庫用戶名、密碼以明文形式編碼在配置文件中，或是保存在生產環境中某個開放性配置管理服務中；或者將某個云服務調用所用的令牌硬編碼在程序代碼里，并上傳到公共的Github代碼倉庫中等。久而久之，組織即不知道哪些系統保存了機密，也不知道哪些機密被哪些系統和人獲取。即便是發現某個機密信息被盜用，也無法回溯該機密是如何被竊取。

一旦出現較嚴重的機密蔓延情況，企業組織會在很多方面面臨潛在的安全威脅。

01數據泄露

在多個位置上分布敏感數據意味著企業必須保護好每個位置的安全，否則就會面臨數據泄露的風險。而當企業需要處理分布在不同區域的多個數據集時，問題會變得更具挑戰性，除非企業有無限的資源和專業人員。

02缺乏控制

機密蔓延意味著企業將敏感信息存儲在多個位置，能夠訪問這些區域的每個人，都有可能獲取到相關的數據。在這種情況下，即使其他用戶沒有惡意目的，他們也可能在無意中暴露或破壞數據。缺乏對機密信息訪問的有效控制屬于高危風險，會讓企業陷入嚴重的安全隱患中。

03數據不一致

當企業處理多個數據集時，數據一致性是關鍵；否則，處理結果將會出現偏差。由于企業將機密信息分布在多個不同的位置，就會導致數據處理不一致的情況出現。例如，當企業在四個不同的位置存儲了API令牌，工作人員可能會因為工作需要在某一個位置對令牌進行更改，而忘記同步更改其它三個位置的令牌。當其他人員需要再次使用它們時，就會遇到故障和偏差。

04降低可訪問性

可訪問性直接影響企業數字化工作的質量和效果。快速檢索所需的信息可以幫助員工提高工作效率。但是，在機密蔓延的情況下，業務人員往往不知道去哪里尋找所需要的機密信息。在每次使用前，員工都可能需要耗費很多時間去尋找所需的信息。

防范機密蔓延的建議

鑒于機密蔓延對數字化發展的諸多危害，企業組織應該采取積極措施應對和預防：

01采用集中式存儲系統

將敏感信息存儲于“孤島”中弊大于利。防止機密蔓延的基礎要求就是采用一個集中式存儲系統，并在這個系統中集中統一存儲所有的機密。例如，Amazon Web Services（AWS）機密管理器就是一個很好的選擇。集中式存儲系統可以幫助企業在一個地方組織和保護敏感數據。企業需要了解或使用任何機密信息，也能清楚地知道去哪里找，從而讓業務開展變得更加高效。

02對機密信息進行加密

無論機密信息存放在哪里，對它進行加密可以為其賦予安全性，使其不易受到損害。一個有效的機密信息管理工具可以提供安全加密服務，將機密信息放在一個安全的集中式存儲系統中是一個非常有效的安全措施。

03部署機密掃描工具

機密蔓延并非都是有意為之。企業可能并不希望將敏感信息到處亂放，但往往還是會不可避免地發生了。當一條機密信息已經存在于您的系統中，但如果企業看不到它，就會去創建另一個副本。防止機密蔓延的有效方法是部署一個機密掃描工具，以檢測企業的機密信息何時被有意或無意地復制。

04創建強有力的訪問控制

要維護敏感數據的隱私，必須使用有效的訪問控制來控制對該數據的訪問。在“需要知道（need-to-know）”的基礎上授予用戶訪問權限。如果他們沒有業務使用需求，則限制他們進入這些領域。即使是對開發人員，也要將他們限制在工作所需的領域內，這樣他們就不能輕易接觸到企業的所有機密信息。

參考鏈接：

??https://www.makeuseof.com/what-is-secret-sprawl/??

??https://www.csoonline.com/article/3689892/hard-coded-secrets-up-67-as-secrets-sprawl-threatens-software-supply-chain.html??