Företaget Wiz senaste rapport State of Code Security 2025 ger oss en ny djupgående inblick i hur dagens utveckling hänger ihop med molnsäkerhet, men även vilka brister som är de mest kritiska just nu.

Genom att analysera hundratusentals repon och CI/CD-pipelines under 2024 visar rapporten hur vanligt det är med exponerade hemligheter, osäkra konfigurationer och svaga skydd i moderna utvecklingsflöden. Värt att notera också är att Wiz köptes upp av Google för ca två månader sedan.

En av de mest oroande insikterna i rapporten som jag läser är att 61 % av organisationerna har minst ett repository med känsliga nycklar och då ofta i form av API-token till molntjänster såsom AWS eller Databricks. Det gäller inte bara publika repon utan också privata. Det skapar en farlig illusion av säkerhet: bara för att ett repo är privat betyder det inte att det är säkert.

GitHub Actions är också ett annat område som är relativt nytt, och där säkerheten också ofta brister. De flesta organisationer som aktiverat Actions låter alla repositories köra alla typer av workflows, inklusive externa och potentiellt illvilliga. Det här ökar risken för supply chain-attacker dramatiskt. Lägg därtill att nästan 80 % av dessa workflows har både WRITE-access och möjlighet att godkänna pull requests, och du får ett scenario där ett komprometterat workflow kan skriva kod direkt till huvudgrenen utan någon mänsklig inblandning.

Self-hosted GitHub runners är ett område där säkerhetsläget är sämre än många tror. Rapporten visar att 35 % av företagen använder sådana runners, som ofta är persistenta och delas mellan olika repos. Dessa maskiner har i snitt tre gånger fler installerade teknologier än vanliga servrar och dessutom fler sårbarheter, vilket gör dem till en attraktiv ingångspunkt för attacker.

När man tittar på språkanvändning i repos är det tydligt att script- och tolkspråk dominerar. Shellscript, JavaScript och Python toppar listan, medan kompilerade språk som C och C++ knappt förekommer alls. Det här påverkar vilka säkerhetsverktyg som är mest relevanta, och pekar på behovet av att anpassa regeluppsättningar och scanningsverktyg utifrån verklig språkanvändning.

En annan intressant observation gäller GitHub Apps. Många appar har rättigheter att både läsa och skriva till repos via scopes som contents och pull_requests. Det betyder att en komprometterad app kan få omfattande kontroll över koden. Kombinationen av brett åtkomstområde och låg kontrollnivå gör dessa appar till en potentiellt farlig attackvektor.

Rapporten från Wiz bekräftar också att GitHub är både den mest använda och mest öppna plattformen för att hantera källkod. Hela 35 % av GitHub-repos är publika, vilket är tre gånger mer än hos andra version control system (VCS) plattformar. Detta gör GitHub till ett självklart mål för angripare som systematiskt letar efter exponerad kod, credentials eller svaga konfigurationer.

Sammantaget visar rapporten att sårbarheter i kod, pipelines och moln inte längre kan hanteras i separata fack. Angripare rör sig sömlöst mellan dessa domäner allt från en läckt token i ett GitHub-repo till en container i produktion.

För att möta en ny och förändrad hotbild måste vi tänka på säkerhet som en helhet, från commit till cloud. Jag gillar också begreppet ”shift left” (vänsterförflyttning) vilket betyder att vi måste tänka på säkerhet tidigare och tidigare i utvecklingsprocessen.