1Password發(fā)布報(bào)告稱(chēng)，企業(yè)每年都會(huì)因泄露基礎(chǔ)設(shè)施代碼、憑證和密鑰而損失數(shù)百萬(wàn)美元。

約60%的調(diào)查受訪(fǎng)者稱(chēng)，其公司處理的是泄露的API令牌、SSH密鑰和私有證書(shū)。

1Password發(fā)布報(bào)告稱(chēng)，企業(yè)每年都會(huì)因泄露基礎(chǔ)設(shè)施代碼、憑證和密鑰而損失數(shù)百萬(wàn)美元。

1Password的報(bào)告題為《藏于明處》（Hiding in Plain Sight），指出企業(yè)因秘密資料被泄而遭遇的損失高達(dá)平均每年120萬(wàn)美元。研究人員發(fā)現(xiàn)，為了便于訪(fǎng)問(wèn)和快速推進(jìn)項(xiàng)目，IT和DevOps人員會(huì)在配置文件或源代碼中留下API令牌、SSH密鑰和私有證書(shū)等基礎(chǔ)設(shè)施秘密。

報(bào)告突出了來(lái)自1Password研究人員的分析和2021年4月針對(duì)美國(guó)500位IT和DevOps人員的調(diào)查研究。其中10%的受訪(fǎng)者經(jīng)歷了秘密泄露事件，其公司損失了超過(guò)500萬(wàn)美元。超過(guò)60%的受訪(fǎng)者稱(chēng)其公司應(yīng)對(duì)過(guò)秘密泄露事件。

除了金錢(qián)損失，40%的受訪(fǎng)者表示自家公司遭遇了品牌信譽(yù)傷害，29%稱(chēng)因秘密被泄而流失了客戶(hù)。

根據(jù)這份報(bào)告和相應(yīng)的調(diào)查，65%的IT和DevOps工作人員稱(chēng)公司擁有500多份秘密，而近20%宣稱(chēng)秘密多到無(wú)法統(tǒng)計(jì)。

員工每天都要花費(fèi)約25分鐘時(shí)間管理這些秘密，超過(guò)一半的受訪(fǎng)者表示該數(shù)字去年出現(xiàn)了大幅上升。

超過(guò)61%的受訪(fǎng)者稱(chēng)，由于公司無(wú)法有效管理自身秘密，多個(gè)項(xiàng)目被迫延期。

值得警惕的是，77%的受訪(fǎng)者表示自己仍可訪(fǎng)問(wèn)前雇主的系統(tǒng)，37%的受訪(fǎng)者則稱(chēng)自己擁有完整權(quán)限，凸顯出了秘密持續(xù)泄露的主要原因。

秘密泄露的另一因素是云應(yīng)用的普及，52%的IT和DevOps員工稱(chēng)云應(yīng)用增加了管理秘密的難度。

但I(xiàn)T和DevOps員工承認(rèn)了一些責(zé)任，其中80%稱(chēng)未能很好地履行管理秘密的職責(zé)。約25%表示自家公司的秘密存放在十個(gè)以上的位置。

IT和DevOps員工還承認(rèn)了通過(guò)電子郵件（59%）、Slack(40%)、電子表格/共享文檔（36%）和文本（26%）等不那么安全的信道共享公司的秘密信息。

幾乎所有受訪(fǎng)者都表示公司設(shè)置了管理秘密的策略，但只有不到40%的受訪(fǎng)者稱(chēng)該策略是強(qiáng)制實(shí)施的。這個(gè)問(wèn)題在公司領(lǐng)導(dǎo)中間尤為突出。超過(guò)62%的受訪(fǎng)者稱(chēng)，團(tuán)隊(duì)領(lǐng)導(dǎo)、經(jīng)理、副總裁和其他管理層人員因新冠肺炎疫情對(duì)工作的要求而忽視了安全規(guī)則。

1Password首席執(zhí)行官Jeff Shiner表示：“秘密是IT和DevOps的生命線(xiàn)，因?yàn)樗麄儽仨氈С脂F(xiàn)代企業(yè)如今所要求的諸多應(yīng)用和服務(wù)?！?

“我們的研究顯示，公司的秘密呈爆發(fā)趨勢(shì)，但I(xiàn)T和DevOps團(tuán)隊(duì)并沒(méi)有達(dá)到嚴(yán)格的標(biāo)準(zhǔn)來(lái)保護(hù)秘密，在此過(guò)程中，企業(yè)面臨著遭遇巨大損失的風(fēng)險(xiǎn)。企業(yè)應(yīng)立即仔細(xì)核查自身秘密管理方式，采用恰當(dāng)?shù)膶?shí)踐和解決方案來(lái)“讓秘密回歸秘密”，從而支持企業(yè)安全文化?！?