Анализ методов и инструментов обнаружения чувствительной информации в исходном коде

проблемы точности и полноты

  • Sergey Vasilyevich Lebed Публичное акционерное общество "Сбербанк России" http://orcid.org/0000-0001-6913-761X
  • Sophiia Vladislavovna Ibragimova Московский государственный университет имени М. В. Ломоносова; Публичное акционерное общество "Сбербанк России" http://orcid.org/0009-0002-1729-2452
DOI: https://doi.org/10.25559/SITITO.021.202501.13-24

Аннотация

В условиях повсеместного внедрения DevOps-практик и роста сложности программных систем, проблема утечки чувствительной информации (секретов), такой как API-ключи, пароли и токены, непосредственно из исходного кода и конфигурационных файлов, приобретает критическую важность. Утечка секретов может привести к серьезным инцидентам безопасности, финансовым и репутационным потерям. Статья посвящена анализу проблемы обнаружения секретов в коде. Рассматриваются типы секретов, места их возможного обнаружения и риски, связанные с их компрометацией. Проводится детальный обзор и критический анализ существующих методов поиска секретов, включая сопоставление с образцом (регулярные выражения), анализ информационной энтропии и базовые подходы семантического анализа. Обсуждаются их принципы работы, преимущества и существенные ограничения, в частности проблемы ложных срабатываний (False Positives) и пропуска реальных секретов (False Negatives). Представлены результаты сравнительного тестирования популярных инструментов с открытым исходным кодом (Gitleaks, TruffleHog, DeepSecrets) на наборе из 50 репозиториев, демонстрирующие различия в их точности и уровне ложных срабатываний. Делается вывод о недостаточной эффективности существующих подходов и необходимости разработки более интеллектуальных и точных решений для надежного обнаружения секретов в коде.

Сведения об авторах

Sergey Vasilyevich Lebed, Публичное акционерное общество "Сбербанк России"

вице-президент по кибербезопасности, кандидат технических наук

Sophiia Vladislavovna Ibragimova, Московский государственный университет имени М. В. Ломоносова; Публичное акционерное общество "Сбербанк России"

студент совместной магистратуры "Кибербезопасность МГУ-СБЕР" факультета вычислительной математики и кибернетики; аналитик Центра управления продуктами кибербезопасности Департамента кибербезопасности

Опубликована
2025-04-28
Как цитировать
LEBED, Sergey Vasilyevich; IBRAGIMOVA, Sophiia Vladislavovna. Анализ методов и инструментов обнаружения чувствительной информации в исходном коде. Современные информационные технологии и ИТ-образование, [S.l.], v. 21, n. 1, p. 13-24, apr. 2025. ISSN 2411-1473. Доступно на: <http://sitito.cs.msu.ru/index.php/SITITO/article/view/1194>. Дата доступа: 03 aug. 2025 doi: https://doi.org/10.25559/SITITO.021.202501.13-24.
Форматы библиографических ссылок
Выпуск
Том 21 № 1 (2025): Современные информационные технологии и ИТ-образование
Раздел
Теоретические и прикладные аспекты кибербезопасности
Лицензия Creative Commons

Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.

Редакционная политика журнала основывается на традиционных этических принципах российской научной периодики и строится с учетом этических норм работы редакторов и издателей, закрепленных в Кодексе поведения и руководящих принципах наилучшей практики для редактора журнала (Code of Conduct and Best Practice Guidelines for Journal Editors) и Кодексе поведения для издателя журнала (Code of Conduct for Journal Publishers), разработанных Комитетом по публикационной этике - Committee on Publication Ethics (COPE). В процессе издательской деятельности редколлегия журнала руководствуется международными правилами охраны авторского права, нормами действующего законодательства РФ, международными издательскими стандартами и обязательной ссылке на первоисточник.
Журнал позволяет авторам сохранять авторское право без ограничений. Журнал позволяет авторам сохранить права на публикацию без ограничений.
Издательская политика в области авторского права и архивирования определяются «зеленым цветом» в базе данных SHERPA/RoMEO.
Все статьи распространяются на условиях лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная, которая позволяет другим использовать, распространять, дополнять эту работу с обязательной ссылкой на оригинальную работу и публикацию в этом журналe.