主要观点：Security firm GitGuardian 发布报告称 2024 年“秘密蔓延”（secrets sprawl）现象加剧，公共 GitHub 代码仓库中发现的秘密增加 25%，大量敏感凭证被泄露，如纽约时报源代码泄露等事件。报告基于扫描公共 GitHub 活动和匿名客户数据，指出“通用”秘密增加是主要原因，自动化扫描工具常遗漏此格式，且公共和私人仓库中秘密情况有差异，私人仓库更易含秘密。还发现除代码仓库外，协作和项目管理工具也常含秘密，扫描公共 Docker Hub 图像发现大量秘密，很多暴露的秘密长期有效，归因于无效的凭证生命周期管理等。GitGuardian 用机器学习改进秘密检测，GitHub 等也在积极开发工具减少秘密蔓延。
关键信息：

• 2024 年公共 GitHub 秘密增加 25%，发现近 2380 万新硬编码秘密。
• “通用”秘密占比从 49%升至 58%，自动化工具常遗漏。
• 私人仓库含秘密概率是公共仓库 8 倍。
• 除代码仓库外，其他工具也含秘密，且事故更严重。
• 很多暴露秘密长期有效，归因于凭证管理问题。
• GitGuardian 用机器学习改进秘密检测，GitHub 等开发相关工具。
  重要细节：
• 报告名为“The State of Secrets Sprawl 2025”，基于特定扫描得出。
• 给出了包含秘密的活跃公共仓库图表和 top 10 特定秘密泄露图表。
• 提及 GitHub 的 Push Protection 等工具及作用和不足。
• 说明 GitLab 有类似工具 GitLab Secret Push Protection。
• 报告可下载。