GitHub 上的秘密泄露再创新高

关键要点

• 2023 年，GitHub 上泄露的认证密钥和其它机密达到了 1280 万个。
• 泄露的机密主要分布在超过 300 万个公共库中。
• 印度是泄露机密的主要来源，其次是美国、巴西、中国和法国。
• IT 行业的机密曝光率最高，教育行业排在第二。
• 生成式人工智能的影响导致 OpenAI API 密钥泄露量激增。

根据 的报道，2023 年，GitHub上泄露的认证密钥、TLS/SSL 证书、OAuth 令牌、云服务凭据以及其它机密信息达到了惊人的 1280 万个。这一数字延续了自 2020年以来，在这大多数代码托管和协作平台上不断增加的泄露趋势。这一情况不仅给开源社区带来了潜在风险，也给企业安全带来了巨大挑战。

根据 GitGuardian 的报告，这些泄露的秘密被共享在超过 300 万个公共 GitHub仓库中，且大多数的有效期超过五天。泄露机密的主要来源国为印度，其次是美国、巴西、中国和法国。IT领域的机密泄露现象最为严重，教育行业则遥遥落后。此外，一些最常见的泄露秘密包括 Google API 密钥、MongoDB凭据、OpenWeatherMap 令牌、Telegram Bot 令牌和 Google Cloud密钥。研究人员指出，生成式人工智能技术的兴起使得机密泄露的情况愈发严重，OpenAI API 密钥的曝光量在 2022 年增加了 1212 倍。

“这一现象不仅揭示了安全意识的缺失，同时也显示出大多数用户对保护私人信息的忽视。” — 业内专家评论

对于企业和开发者来说，了解和防范这些风险至关重要。确保代码库的安全，定期扫描和监测潜在的机密泄漏，以及加强对密码管理和数据保护的重视，是保护自身和客户的最佳实践。