JFrog的高级安全扫描仪发现了数千个公开暴露的API令牌-而且它们是活跃的

阅读我们的完整研究报告信息世界

JFrog安全研究团队发布了最近的一项调查结果，其中他们发现了数千个公开暴露的，活跃的API的令牌。这是在团队测试新版本时完成的秘密检测在公司的特色JFrog高级安全解决方案，一部分JFrog x光．

该团队在最常见的开源软件注册表中扫描了800多万个工件:npm、PyPI、RubyGems、crates。io和DockerHub(两者都是)Dockerfiles和小Docker层)。使用Secrets Detection扫描器分析每个工件，以查找和验证泄漏的API令牌。对于npm和PyPI包，扫描还包括同一包的多个版本，以尝试找到曾经可用但在后续版本中删除的令牌。

在秘密检测扫描所有支持的令牌类型并动态验证令牌后，AWS、GCP和Telegram、API令牌是泄露最多的令牌(按此顺序)。有趣的是，AWS开发人员似乎对撤销未使用的令牌更加警惕，47%的AWS令牌被发现是活跃的，而不像GCP，它的活跃率约为73%。

虽然他们研究的最初目标是使用JFrog高级安全工具发现并修复误报，但研究团队发现了比预期更多的活跃秘密，这促使他们进行了详细的分析。为了完成分析，团队私下向各自的代码所有者(可以识别的人)公开了所有泄露的秘密，为他们提供了根据需要替换或撤销秘密的机会。

秘密检测在源代码中发现了公开的秘密，如明文API密钥、凭据、过期证书或密码，这些秘密经常被遗忘并在无意中暴露出来。这些秘密威胁到软件的完整性，使不法分子能够访问机密信息、数据或专用网络。

阅读深入的JFrog Security研究结果，以及他们推荐的安全存储令牌的五个最佳实践信息世界”的文章，请继续关注JFrog高级安全的新特性如何帮助保护您的软件供应链的更多示例。