这项研究分析了507名IT决策者的回复，受访者包括IT总监、IT副总裁、CIO、CSO、CISO和网络安全副总裁，以评估DevOps环境中暴露的机密信息的风险。

根据GitGuardian今年早些时候发布的“2023年机密蔓延状态”报告，2022年在Github上检测到了1000万个源代码机密，同比增长了67%。

暴露的机密包括API密钥、用户名密码和加密密钥等。只有10%的发生过泄密事件的受访者表示，泄密事件并未影响公司或其员工。

调查显示，软件供应链存在三个关键风险点：58%的受访者认为“源代码和存储库”是核心风险领域，其次是“开源依赖”（53%）和“硬编码机密”（47%）。

“包含大量机密信息的代码存储库将成为网络攻击的宝藏，”ESG分析师Melinda Marks指出：“重要的是，云原生应用安全不仅仅是保护应用程序中的代码，还必须保护用于运行和开发应用程序的所有内容，包括CI/CD管道及其关联的存储库。”

此外，当被问及硬编码机密策略时，27%的受访者表示他们依靠人工审查来检测硬编码机密，这表明机密管理方式过时、效率低下。此外，17%的人认为他们不需要机密信息检测，因为他们使用了机密管理器或保险库，3%的人承认根本没有策略。

值得注意的是，相当大比例（53%）的高级安全主管承认，在开发团队中，机密信息是以纯文本形式共享的。

“我认为最大的问题是开发人员在编写代码时可能因疏忽而暴露机密，例如在提交代码时忘记删除重要数据、凭据或机密。因此，开发人员的安全意识培训很重要，此外还需要为他们提供轻松查找和纠正安全问题的工具。”报告指出。

该研究指出，与其他工具（特别是运行时保护工具）相比，机密检测和修复以及机密管理（在投资方面）的优先级较低。虽然38%的受访者表示计划投资运行时应用程序保护工具，但分别只有26%和25%的受访者表示他们将把钱投入到机密检测和修复以及机密管理上。

不过，GitGuardian的调查也揭示了光明的一面：94%的受访者表示他们正在以某种方式考虑在未来12-18个月内改进他们的机密管理实践。