該報告基于對美國、英國、德國和法國擁有500多名員工的企業中的1000名IT決策者的調查,揭示了人們對秘密泄露相關風險的意識和擔憂顯著增加。
秘密泄露事件不斷上升
79%的受訪者表示,他們曾經歷過或知曉企業內部發生秘密泄露事件,這一比例較上一年度的75%有所上升,這凸顯了這一安全挑戰日益普遍。企業正在通過大量分配資源來應對這些挑戰,平均將32.4%的安全預算用于秘密管理和代碼安全。
77%的受訪者表示,他們目前正在投資或計劃在2025年前投資秘密管理工具,其中75%專注于秘密檢測和修復工具,這表明他們致力于直面這一問題。
74%的受訪者表示,他們已實施至少部分成熟的策略來防止秘密泄露,然而,23%(較2023年的27%有所下降)的受訪者仍依賴人工審查或缺乏明確的策略,這表明一些企業在意識或主動措施方面存在令人擔憂的缺失。
75%的受訪者對企業檢測和防止源代碼中硬編碼秘密的能力表示中度至高度信心。在美國,這一信心水平甚至更高,達到84%。平均而言,受訪者還表示,他們每年能夠輪換36%的秘密。
修復泄露秘密的平均時間為27天,然而,GitGuardian的數據顯示,實施秘密檢測和修復解決方案可以在一年內將這一時間顯著縮短至約13天。
對AI和供應鏈風險的擔憂日益加劇
43%擔心代碼庫中泄露增加的受訪者強調了AI學習并復制包含敏感信息的模式的風險,此外,32%的受訪者認為使用硬編碼秘密是其軟件供應鏈中的一個關鍵風險點。
同樣令人擔憂的是人為因素,39%的受訪者擔心對AI生成的代碼進行的安全審查不足,這表明AI輔助的速度和適當的安全實踐之間存在關鍵差距。對AI上下文感知(37%)和意外接受硬編碼秘密(36%)的密切相關擔憂進一步強調,AI能力和安全要求的交匯為潛在的敏感信息暴露提供了多個途徑,企業需要積極應對。
GitGuardian首席執行官Eric Fourrier表示:“我們2024年的報告結果強調了秘密泄露威脅不斷升級,以及需要穩健的自動化解決方案來降低這些風險。雖然對秘密管理的投資不斷增加令人鼓舞,但企業必須優先實施包括早期檢測、快速修復以及強烈關注開發人員教育和最佳實踐在內的全面策略。企業必須積極解決這些擔憂,并加強其安全態勢,以保護其敏感數據并保持競爭優勢。”
CyberArk機器身份安全總經理Kurt Sand表示:“安全領導者日益認識到保護機器身份和消除硬編碼秘密的重要性,這令人鼓舞,然而,近四分之一的受訪者仍使用手動系統來處理泄露,這表明需要通過自動化來提高安全性、修復效率和效能。隨著對AI的需求繼續推動機器身份的增加,企業需要可擴展的自動化機器身份安全方法。”
盡管企業在秘密管理方面表現出更高的意識和投資——77%計劃在2025年前投資相關工具——但秘密泄露事件的不斷增加(79%的企業)表明,隨著數字化轉型的推進,這一挑戰仍在持續加劇。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號