Publiek toegankelijke programmeercode zit nog steeds veel te vol met bepaalde credentials die iedereen een inkijkje in onderliggende databases of (cloud)diensten kunnen geven. Dit constateerde securityspecialist GitGuardian onlangs in een onderzoek onder 450.000 Python-projecten.
Ontwikkelaars kunnen hun code nog steeds niet schoonhouden van credentials. Vaak worden deze gegevens, zoals cryptografische sleutels, security code en wachtwoorden, nog te vaak direct in de geschreven broncode ondergebracht.
Dit kan vanzelfsprekend leiden tot grote security-incidenten waarbij hackers veel gevoelige data buit kunnen maken, met alle gevolgen van dien.
57.000 in code toegankelijke secrets
Uit onderzoek van securityspecialist GitGuardian naar de aanwezigheid van secrets in (bron) code van Python-projecten, komt naar voren dat programmeurs en ontwikkelaars hierin hardleers zijn.
In de onderzochte 450.000 Python-projecten in de officiële Python-code repository Python Package Index (PyPi) werden er in totaal 4.000 ingebouwde secrets gevonden. Ongeveer 3.000 projecten bevatten ten minste één ingecodeerde secret. Meerdere secrets werden meerdere malen gelekt, zodat het uiteindelijke aantal op 57.000 uitkwam.
Verschillende aangetroffen inloggegevens
De aangetroffen credentials gaven toegang tot een reeks van onderliggende diensten en servers die voor het beheer van zakelijke netwerken worden gebruikt. Voorbeelden hiervan zijn Azure Active Directory API keys en GitHub OAuth app-keys.
Ook werden database-credentials voor onder meer MongoDB, MySQL en PostgreSQL, een key voor Dropbox, Auth0 keys, SSG-secrets, Coinbase-secrets en Twilio Master-gegevens aangetroffen.
Verder werden andere databasegegevens en tokens voor het controleren van Telegram-bots die processen automatiseren voor de messaging-dienst aangetroffen, zo geven de onderzoekers aan.
Na het testen van alle aangetroffen secrets bleek dat in totaal 786 credentials nog steeds actief zijn en kunnen worden misbruikt.
Tips om code schoon te houden
De onderzoekers geven een aantal tips waarmee programmeurs kunnen voorkomen dat hun code nog secrets bevat. In de eerste plaats moeten ze altijd voorkomen dat ze onversleutelde credentials gebruiken. Ten tweede is het belangrijk dat zij hun code op dergelijke data scannen voordat zij die naar buiten brengen.
Ten derde moeten zij ervoor zorgen dat credentials op hun eigen apparaat blijven en niet naar andere worden verspreid. Tenslotte kunnen ontwikkelaars natuurlijk altijd hun code delen, maar hun credentials niet, zo geeft GitGuardian aan.
Tip: SAP brengt met Build Code generatieve AI naar ontwikkelaars
1 dag geleden
Expert bijdrage
