Несмотря на многолетние предупреждения, разработчики по-прежнему вставляют конфиденциальные данные непосредственно в исходный код, рискуя тем самым нарушить безопасность, пишут эксперты.

Эта распространенная, но небезопасная практика кодирования подразумевает вставку криптографических ключей, маркеров безопасности и паролей непосредственно в код, что делает его уязвимым для эксплуатации.

Недавнее исследование, проведенное компанией GitGuardian, показало, что в более чем 450 тыс проектов, представленных в PyPI, официальном репозитории кода языка программирования Python, было раскрыто почти 4 тыс секретов. Среди обнаруженных секретов были ключи API Azure Active Directory, ключи приложений GitHub OAuth, а также учетные данные баз данных MongoDB, MySQL и PostgreSQL.

Несмотря на то, что 768 учетных данных все еще активны, исследователи подчеркивают постоянный риск и необходимость использования безопасных методов кодирования и инструментов для предотвращения непреднамеренного раскрытия информации, что касается порой и крупных компаний.

Источник: Ferra