Анализ методов и инструментов обнаружения чувствительной информации в исходном коде
проблемы точности и полноты
Аннотация
В условиях повсеместного внедрения DevOps-практик и роста сложности программных систем, проблема утечки чувствительной информации (секретов), такой как API-ключи, пароли и токены, непосредственно из исходного кода и конфигурационных файлов, приобретает критическую важность. Утечка секретов может привести к серьезным инцидентам безопасности, финансовым и репутационным потерям. Статья посвящена анализу проблемы обнаружения секретов в коде. Рассматриваются типы секретов, места их возможного обнаружения и риски, связанные с их компрометацией. Проводится детальный обзор и критический анализ существующих методов поиска секретов, включая сопоставление с образцом (регулярные выражения), анализ информационной энтропии и базовые подходы семантического анализа. Обсуждаются их принципы работы, преимущества и существенные ограничения, в частности проблемы ложных срабатываний (False Positives) и пропуска реальных секретов (False Negatives). Представлены результаты сравнительного тестирования популярных инструментов с открытым исходным кодом (Gitleaks, TruffleHog, DeepSecrets) на наборе из 50 репозиториев, демонстрирующие различия в их точности и уровне ложных срабатываний. Делается вывод о недостаточной эффективности существующих подходов и необходимости разработки более интеллектуальных и точных решений для надежного обнаружения секретов в коде.

Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.
Редакционная политика журнала основывается на традиционных этических принципах российской научной периодики и строится с учетом этических норм работы редакторов и издателей, закрепленных в Кодексе поведения и руководящих принципах наилучшей практики для редактора журнала (Code of Conduct and Best Practice Guidelines for Journal Editors) и Кодексе поведения для издателя журнала (Code of Conduct for Journal Publishers), разработанных Комитетом по публикационной этике - Committee on Publication Ethics (COPE). В процессе издательской деятельности редколлегия журнала руководствуется международными правилами охраны авторского права, нормами действующего законодательства РФ, международными издательскими стандартами и обязательной ссылке на первоисточник.
Журнал позволяет авторам сохранять авторское право без ограничений. Журнал позволяет авторам сохранить права на публикацию без ограничений.
Издательская политика в области авторского права и архивирования определяются «зеленым цветом» в базе данных SHERPA/RoMEO.
Все статьи распространяются на условиях лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная, которая позволяет другим использовать, распространять, дополнять эту работу с обязательной ссылкой на оригинальную работу и публикацию в этом журналe.