微新创想:近日,网络安全公司Intruder对全球500万款应用程序进行了扫描,发现其中有超过42000个明文存储的机密信息隐藏在JavaScript文件中。这些信息包括多种类型,如688个活跃的代码仓库token、Linear等开发工具的API密钥、AWS和SSH密钥、CAD图纸以及Webhook链接等。这些敏感数据的存在,给应用程序的安全性带来了极大的隐患。
问题的根源在于,传统的安全扫描工具往往无法处理JavaScript代码或渲染单页应用(SPA)页面。这使得在构建过程中嵌入的敏感信息难以被及时发现。很多开发人员在编写代码时,会将API密钥、数据库连接字符串等信息直接写入JavaScript文件,而这些文件在构建过程中会被打包,最终部署到生产环境中。
静态应用安全测试(SAST)虽然可以覆盖源代码,但无法检测打包后的产物。这意味着即使开发者在代码中进行了安全处理,打包后的文件仍可能包含未加密的敏感信息。而动态应用安全测试(DAST)虽然能够检测运行时的安全问题,但其成本较高,难以在所有环境中全面部署。
为了应对这一问题,越来越多的开发团队开始关注构建过程中的安全检测。他们意识到,仅仅依赖传统的SAST和DAST工具已经不足以全面保障应用的安全。因此,需要引入更先进的解决方案,以确保在应用构建和部署的各个环节都能有效识别和防范敏感信息泄露的风险。
