主要观点：

• 秘密扫描常被认为仅与代码仓库相关，但这只是整体秘密安全的一部分，代码中的秘密泄露是主要关注点，且如今许多关键秘密暴露在协作工具中。
• 秘密在团队接触的每个工具中都在泄露，不仅是代码和 CI/CD 平台，还包括整个数字工作区的各种工具。
• 协作平台尤其危险，因其未考虑秘密因素、涉及人员多且意识淡薄、共享内容无有效生命周期管理。
• 组织易有私人空间安全的错误认知，实际上私人空间也易受攻击。
• 处理代码外的秘密泄露需人员、流程和工具协同，包括提高意识、使用专门工具检测、整合警报等。

关键信息：

• 2024 年公共 GitHub 仓库新增超 2370 万硬编码秘密，增长 25%。
• 协作工具中 38%秘密为关键或紧急级别，与代码中 31%相比，SCM 与协作工具间只有 7%秘密重叠。
• Slack 和 Microsoft Teams 是秘密泄露热点，开发者常分享临时凭证且易被遗忘。
• Jira 和 ServiceNow 是风险向量，支持团队常粘贴凭证，文档平台 Confluence 也易有明文凭证。
• 协作平台危险原因：未考虑秘密、人员多意识淡薄、共享内容无有效生命周期。
• 私人空间也非安全，私人仓库含秘密概率是公共的 8 倍。

重要细节：

• 在 2025 年《秘密蔓延报告》中提及上述各种情况及数据。
• 提到应对挑战的具体措施，如使用专门工具检测、整合警报等。