Aqua Security 公司的研究人员 Yakir Kadkoda 和 Assaf Morag 在报告中指出，在公开仓库中找到了 Kubernetes 机密，可导致恶意人员访问软件开发生命周期 (SDLC) 中的敏感环境并引发严重的供应链攻击威胁。

报告指出，“这些企业包括 SAP 的 Artifacts 管理系统，该系统中含有9500多万个工件；两家顶级区块链公司；以及多家财富500强企业。” 研究人员支出，这些编码的 Kubernetes 配置机密被上传到公开仓库中。Kubernetes 机密对于管理开源容器协调环境中的敏感数据而言至关重要。然而，这些机密通常以不加密的形式存储在 API 服务器的底层数据库中，使其易受攻击影响。

研究人员提到他们关注的两种 Kubernetes 机密：dockercfg 和 dockerconfigjson。它们存储的凭据可用于访问外部注册表并使用 GitHub 的 API 识别 Kubernetes 机密并上传到公开仓库的实例。研究团队指出，“我们在公开仓库中发现了数百个实例影响个人、开源项目和大型组织机构等，这说明了问题非常严重。”

研究报告中提到，“我们使用 GitHub 的 API 进行搜索，检索所有包含 .dockerconfigjson 和 .dockercfg 的所有条目。最初的查询找到了8000多个结果，促使我们优化搜索仅将包含通过base64编码的用户和密码值的记录。这一精简得出了可能持有注册表合法凭据的438条记录。”

在这些记录中，其中203条记录也就是大概46%的记录中包含的合法凭据可想各自的注册表提供访问权限。在多数情况下，这些凭据可用于拉取和推送权限。此外，我们经常在多数注册表中发现私有容器镜像。我们向相关利益相关者通知了这些遭暴露的机密和他们应该采取的缓解步骤。”

研究人员发现很多践行者有时会忘记从GitHub所提交公开仓库的文件中删除机密，从而导致敏感信息遭暴露，“它们离明文机密只差一个 base64 解码命令。”在一个案例中，研究人员发现了 SAP SE 的 Artifacts 仓库的有效凭据，可用于访问9500多万个工件，还发现下载权限和有限的部署操作。研究人员提到，“这个 Artifacts 仓库密钥的暴露引发巨大的安全风险。这类访问权限造成的潜在威胁包括泄露专有代码、数据泄露以及供应链攻击风险，所有这些威胁可攻陷组织机构的完整性以及客户的安全性。”

研究人员表示，还发现了两个顶级区块链公司注册表的机密以及与2948个唯一容器镜像关联的合法 Docker hub 凭据。