作者:腾讯啄木鸟代码安全团队
作者前言:
随着大模型技术的崛起,为行业提供了突破安全防护新高度的可能性。在我们的探索之旅中,大模型技术已被引入到安全领域的多个垂直应用中,我们将其沉淀成一系列关于大模型应用实践的文章。作为本系列的第二篇,本文聚焦于密钥硬编码的问题,分析了传统检测策略的缺陷,并详细介绍了大模型在该场景下的优势、检测实施方案和效果。我们将继续推出更多关于大模型在研发安全、网络安全、威胁情报等领域的应用探索与总结,敬请期待,欢迎持续关注本公众号。
2024年1月,一位开发者在浏览代码时,意外发现了一串神秘的认证密钥,这串密钥似乎能打开某个公司内部的宝库——源码仓库。这可不是小事,因为黑客通过这串密钥能解锁的不仅仅是代码,还有可能是数据库连接、云访问密钥、设计蓝图、API密钥等关键企业敏感信息…经细查这串密钥来自一名车企员工,他在代码中无意识嵌入了自己的明文密码,导致本次泄漏事件。此事惊心点在于密钥在23年9月29日就已泄漏,该公司的GitHub Enterprise Server可能在未察觉的情况下,暴漏在公网上长达3个多月才修复…
硬编码密钥:泄漏速度快,被利用后风险高
注:密钥硬编码指的是在源代码中直接嵌入明文的密码或其他敏感密钥信息,如SSH密钥,API密钥等。密钥硬编码泄露是各公司面临的重大安全威胁之一,其风险量级一直居高不下,是其他风险总和的数倍。
腾讯啄木鸟代码安全团队依托混元大模型强大的代码语义理解和语言泛化能力,在密钥硬编码泄露检测场景,实现高检出和低误报,让业务聚焦于有效密钥硬编码泄露风险,提升业务风险处置效率。
部分开发者在开发和测试阶段为了提高效率,无意之中将敏感密钥明文直接嵌入在代码里。然而,一旦代码库遭泄露,敏感密钥可能被恶意利用来窃取对应资源。相比其他安全漏洞(如SQL注入、命令注入等),密钥泄露利用简单且迅速,从被发现到被利用的时间极短,极大地增加了系统被非法入侵和数据泄露的危害。例如,近期Clutch Security的研究人员进行了一项测试,发现泄露到Github的AWS 密钥在几分钟内就被攻击者利用。
以AK/SK(Access Key ID/Secret Access Key)密钥为例,云服务提供商使用AK/SK进行身份验证和授权,其泄露后果严重,原因在于
最低0.47元/天 解锁文章
扫一扫
560
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
