freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

开源时代,追求开发效率的同时如何保障敏感凭据安全?
2020-05-21 23:27:33

导语:在拥有170万名开发者忠实用户的Github开源平台上,已经有超过100,000个代码库泄露了API或加密密钥;与此同时,每一天还有数千个新代码库正在泄露密钥......

 

       Github对程序员的影响力是不言而喻的。世界上众多程序员都在通过github公开源代码,同时支持着自己日常的开发。尤其是在代码从开发到生产的快速跟踪流程上,GitHub可算是走在其他数据仓库的前头。但是,高效便捷的同时也会带来一些负面影响,如敏感凭据泄露。

       2019年北卡罗纳州立大学针对Github上的密钥泄露进行研究后发现,Github上超十万个代码库泄露了API或其他加密密钥,其中有19%在泄露后的16天内被删除,81%仍然对外可见。

无标题.png

Github上泄露的密钥类型Top6


        这使得企业不得不面临因敏感凭据泄露而导致的业务重要信息泄露及权限失控的安全风险。

 

敏感数据泄露既是安全意识问题,也是技术问题

       大部分的敏感凭据泄露都是无意识的,主要是用户对敏感凭据的重要性认知不够,上传非敏感代码时不小心夹带。

以API密钥泄露为例:

2.png

      在技术层面上,先于黑客发现敏感凭据泄露风险,是解决密钥泄露问题的第一步;而从源头上对敏感凭据进行保护,是进一步保障密钥不被恶意利用的关键。

 

       为了防范敏感凭据泄露带来的安全风险,腾讯安全推出集“检测、防护、告警”于一体的敏感凭据防护解决方案。

方案详情请查看视频

【视频】.mp4

拒绝“散养”凭证信息,拒绝明文硬编码

       由不安全的配置、源代码泄露及硬编码等内部威胁引起的数据泄露事件比例逐渐上升。对开发者个人而言,需要加强开发工作中敏感凭据的加密意识,拒绝明文硬编码;对于企业而言,需要加强对各种不同类型的凭据的统一管理问题。

 

       后台服务需要配置数据库连接、敏感 IP端口、Tokens、SSH密钥等敏感凭据,这些配置信息大量的以明文或者硬编码的方式存在,一旦泄露将造成严重的后果。因此对这类配置文件的敏感信息需要应用密码技术进行加密保护,推荐采用凭据管理系统SSM进行托管式管理和硬件级加密存储。

接入前后的对比示例如下图所示:

3.png 

       在访问API接口服务时,需要API鉴权的密钥或者Token。API密钥如果泄露,无异于整个账户被暴露,一旦被恶意利用,后果不堪设想。对于这类特殊密钥的保护场景,推荐使用白盒加密的方式来保护密钥的安全。KMS白盒密钥管理将算法与密钥进行混淆融合,以查找表的形式有效保护密钥信息,在不暴露任何密钥的情况下实现加密与解密,并通过设备绑定的方式进一步确保密钥的安全。

4.png 

腾讯云已上线凭据管理系统SSM和白盒密钥管理,使用指引可以参考:

凭据管理SSM详情:https://cloud.tencent.com/product/ssm

白盒密钥管理详情:https://cloud.tencent.com/document/product/573/43178

 

 

# 密钥管理 # 敏感凭据
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者