АВТОМАТИЗОВАНЕ УПРАВЛІННЯ РИЗИКАМИ ВИТОКУ СЕКРЕТНОЇ ІНФОРМАЦІЇ У ПРОГРАМНОМУ КОДІ

DOI: 10.31673/2412-4338.2025.038705

  • Марценюк Євгеній Віталійович (Yevhenii Martseniuk) Національний Університет "Львівська Політехніка", Львів https://orcid.org/0009-0009-2289-0968
  • Чорній Владислав Володимирович (Vladyslav Chornii) Національний Університет "Львівська Політехніка", Львів https://orcid.org/0009-0006-8671-3889
  • Партика Ігорович Андрій (Andrii Partyka) Національний Університет "Львівська Політехніка", Львів https://orcid.org/0000-0003-3037-8373
  • Гарасимчук Олег Ігорович (Oleh Harasymchuk) Національний Університет "Львівська Політехніка", Львів https://orcid.org/0000-0002-8742-8872

Анотація

У статті здійснено комплексне дослідження проблеми інформаційної безпеки, що виникає внаслідок неконтрольованого зберігання секретної інформації у програмному коді сучасних програмних систем. Детально проаналізовано категорії конфіденційних даних — API-ключі, токени доступу, облікові дані до баз даних, приватні криптографічні ключі та конфігураційні параметри, — витік яких створює критичні ризики для цілісності, конфіденційності та доступності ІТ-інфраструктури. Особливий акцент зроблено на інфраструктурних загрозах у багатохмарних середовищах та автоматизованих CI/CD-конвеєрах, де випадкове розміщення облікових даних у вихідному коді призводить до компрометації ланцюга постачання, несанкціонованого доступу до хмарних сервісів і порушення безперервності бізнес-процесів. У межах емпіричного дослідження проведено аналіз ста відкритих репозиторіїв GitHub із використанням сучасних засобів автоматизованого виявлення секретів (TruffleHog, GitLeaks, detect-secrets). Отримані результати класифіковано за видами виявлених секретів, рівнями критичності та потенційними наслідками їх витоку, що дозволило ідентифікувати найбільш поширені вектори ризику та визначити пріоритети їх усунення. Формалізовану оцінку ризиків здійснено відповідно до методології NIST SP 800-30, що передбачає ідентифікацію активів, загроз, вразливостей, оцінювання ймовірності реалізації загроз та масштабів їх впливу. На основі проведеного аналізу обґрунтовано необхідність інтеграції процесів безпечного управління секретами у життєвий цикл розробки програмного забезпечення (SDLC) через впровадження автоматизованого сканування коду, централізованих сховищ секретів (HashiCorp Vault, AWS Secrets Manager, Google Secret Manager), механізмів ротації та відкликання облікових даних, а також політик контролю доступу на основі ролей (RBAC). Доведено, що поєднання технічних рішень із організаційними заходами — систематичним навчанням персоналу, впровадженням DevSecOps-практик, регулярними аудитами та формалізованими процедурами код-рев’ю — забезпечує понад 85 % зниження кількості інцидентів витоку та гарантує відповідність міжнародним стандартам інформаційної безпеки (ISO/IEC 27001, NIST SP 800-53, SOC 2). Результати дослідження підтверджують ефективність комплексного підходу до автоматизованого управління ризиками витоку секретної інформації й окреслюють методичні засади формування зрілих процесів безпечної розробки в умовах мультихмарних і мікросервісних архітектур.

Ключові слова: DevSecOps, source code leakage, secrets detection, hardcoded credentials, security automation, CI/CD security, GitHub, AWS keys.

Номер
№ 3 (2025)
Розділ
Статті