GitProtect: 7 суровых истин, которые должны знать специалисты по безопасности
Изображение: grok
Репозитории, CI/CD и облачные связки в 2025 году стали излюбленным местом для атак на команды разработки. Отчет GitProtect под названием «DevOps Threat Unwrapped Report 2026» фиксирует рост числа угроз, нацеленных на код, токены, зависимости и автоматизированные процессы. Эксперты компании выделили семь болезненных выводов, с которыми придется считаться любому отделу разработки.
Первый вывод связан с ИИ-помощниками. Авторы отчета считают, что нейросетевые ассистенты приносят пользу лишь в тех случаях, когда за их работой следят опытные инженеры. Стоит ослабить контроль, и они превращаются из надежных напарников в болтливых новичков, у которых есть доступ к тем местам, куда их пускать не стоило. За прошлый год GitProtect зафиксировал 68 инцидентов с участием ИИ на крупных DevOps-площадках. К числу угроз компания отнесла вредоносные промпты, удаленный запуск кода и утечки учетных записей.
Второй неприятно удивит сторонников открытого кода. Публичные репозитории стали комфортной дорогой для распространения вредоносных вставок. Злоумышленники подмешивают зараженные куски в открытые проекты, а оттуда эта начинка перетекает в корпоративную инфраструктуру через зависимости, конвейеры сборки и долгоживущие токены. GitProtect рекомендует не доверять красивому описанию проекта, перепроверять чужой код, держать зависимости под наблюдением и сокращать срок жизни токенов.
Третий вывод затрагивает секреты. Согласно подсчетам GitProtect, кража учетных данных в течение всего 2025 года шла по нарастающей. Утекший токен может месяцами лежать без внимания, а потом внезапно открыть проход к тысячам репозиториев. Отчет призывает переходить на короткоживущие учетные записи, минимальные права, фишингоустойчивую MFA и наблюдение за репозиториями, облачными аккаунтами и цепочками сборки.
Четвертая проблема скрывается в конфигурациях и автоматике. За прошлый год ошибки в настройках и сбои автоматических процессов превратились в распространенную причину падений облачных DevOps-сред. Даже мощные платформы крупных провайдеров порой держатся на единственной точке отказа. Одна оплошность способна разлететься по десяткам компаний денежными убытками, остановкой работы, судебными претензиями и проблемами с соблюдением норм.
Пятый вывод почти хрестоматийный, но от этого не легче. Опасные уязвимости остались на своих местах. По данным GitProtect, свыше 50% закрытых за 2025 год уязвимостей попали в разряд критических и высокоопасных. Откладывать установку патчей для DevOps-платформ примерно равносильно тому, чтобы оставить дверь серверной нараспашку и рассчитывать на порядочность всех прохожих.
Шестой пункт про фишинг. Взломщикам больше не нужно подбирать пароль в лоб. Они проникают через доверенные потоки идентификации, OAuth и облачные сервисы. Фишинг как сервис и помощь со стороны враждебных группировок придают этому рынку дополнительный лоск. GitProtect советует использовать условный доступ, защищать OAuth, контролировать выданные согласия, проверять авторизованные приложения и подключать поведенческое обнаружение.
Седьмая мысль звучит просто и довольно горько. Переход в чужое облако не снимает с компании ответственности за свои данные. Облачная инфраструктура бывает удобной, производительной и современной, но волшебным сейфом она не становится. Когда в репозиториях хранятся персональные или закрытые сведения, а защита дала сбой, расплачиваться будет владелец этих данных, а не только провайдер услуги.
