УДК 004.415.5
DOI: 10.36871/26189976.2026.06-2.013

Авторы

Рустем Нусратуллович Гайнуллин,
ФГБОУ ВО Казанский государственный энергетический университет, Казань, Россия
Мовлади Исаевич Исаев,
Чеченский государственный университет им. А.А. Кадырова, Грозный, Россия
Али Анварович Халидов,
ФГБОУ ВО Казанский государственный энергетический университет, Казань, Россия; ФГБОУ ВО «Казанский государственный энергетический университет»

Аннотация

В статье исследуются инструменты обнаружения утечек секретов в репозиториях исходного кода как элемент инженерной защиты программных систем. Рассмотрены причины попадания учетных данных, токенов, закрытых ключей и служебных параметров в историю версий, а также методы их выявления на основе сигнатурного поиска, энтропийной оценки, контекстной фильтрации и проверки жизнеспособности найденных значений. Обоснована необходимость включения таких средств в контур безопасной разработки: локальные проверки, контроль отправки изменений, анализ истории репозитория и автоматизированное реагирование. Показано, что наибольший эффект достигается при сочетании технического сканирования, регламентов управления секретами и регулярной ротации скомпрометированных данных.

Ключевые слова

утечка секретов,
репозиторий исходного кода,
статический анализ,
учетные данные.

Список литературы

[1] Аветисян А., Белеванцев А., Бородин А., Несов В. Использование статического анализа для поиска уязвимостей и критических ошибок в исходном коде программ // Труды Института системного программирования РАН. 2011. Т. 21. С. 23–38.

[2] Алексеев Д.Н., Хамитов Р.М. Анализ и минимизация рисков вредоносных зависимостей в процессе непрерывной интеграции и внедрения программного кода // Транспорт и информационные технологии. 2024. Т. 14. № 3. С. 100–116. DOI: 10.36871/26189976.2026.06-2.013

[3] Блинов А.В., Беззатеев С.В. DevSecOps: объединение процессов разработки и безопасности // Вопросы кибербезопасности. 2025. № 2(66). С. 78–89. DOI: 10.21681/2311- 3456-2025-2-78-89.

[4] Бородин А.Е., Белеванцев А.А. Статический анализатор Svace как коллекция анализаторов разных уровней сложности // Труды Института системного программирования РАН. 2015. Т. 27. № 6. С. 111–134. DOI: 10.15514/ISPRAS-2015-27(6)-8.

[5] Бородин А.Е., Горемыкин А.В., Вартанов С.П., Белеванцев А.А. Поиск уязвимостей небезопасного использования помеченных данных в статическом анализаторе Svace // Труды Института системного программирования РАН. 2021. Т. 33. № 1. С. 7–32. DOI: 10.15514/ISPRAS-2021-33(1)-1.

[6] Ганжур М.А., Дьяченко Н.В., Отакулов А.С. Анализ методологий DevOps и DevSecOps // Молодой исследователь Дона. 2021. № 5(32). С. 8–10.

[7] ГОСТ Р 56939–2024. Защита информации. Разработка безопасного программного обеспечения. Общие требования. М.: Стандартинформ, 2024.

[8] ГОСТ Р 71207–2024. Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования. М.: Стандартинформ, 2024.

[9] Иванников В.П., Белеванцев А.А., Бородин А.Е., Игнатьев В.Н., Журихин Д.М., Аветисян А.И., Леонов М.И. Статический анализатор Svace для поиска дефектов в исходном коде программ // Труды Института системного программирования РАН. 2014. Т. 26. № 1. С. 231–250. DOI: 10.15514/ISPRAS-2014-26(1)-7.

[10] Марков А.С., Антипов И.С., Арустамян С.С., Магакелова Н.А. Сравнительный анализ и выбор статических анализаторов безопасности кода // Вопросы кибербезопасности. 2024. № 5(63). С. 79–88. DOI: 10.21681/2311-3456-2024-5-79-88.

[11] Марков А.С., Матвеев В.А., Фадин А.А., Цирлов В.Л. Эвристический анализ безопасности программного кода // Вестник МГТУ им. Н. Э. Баумана. Серия: Приборостроение. 2016. № 1. С. 98–111. DOI: 10.18698/0236-3933-2016-1-98-111.