不管對于哪一家公司來說�,公司源代碼都是非常重要的??梢哉f,只要掌握了源代碼就可以復(fù)制一個(gè)相同的應(yīng)用程序���,而最近竟然發(fā)生了一件50多家公司源代碼被泄露的事件�,并且華為海思���、聯(lián)想��、微軟�、高通、聯(lián)發(fā)科�、通用電氣、任天堂���、迪士尼等公司也在其中���。
據(jù)外媒報(bào)道,遭泄露的源碼被發(fā)布在 GitLab 上一個(gè)公開存儲(chǔ)庫中����,并被標(biāo)記為 “exconfidential” (絕密),以及 “Confidential & Proprietary”(保密&專有)�����。根據(jù)安全研究人員 Bank Security 提供的信息�����,該存儲(chǔ)庫中大約包含了超過 50 家公司的源碼��。但有一些文件夾是空的���,還有一些存在硬編碼憑證�。(一種創(chuàng)建后門的方式。)
這些泄露的代碼由瑞士黑客Tillie Kottamann收集���。據(jù)專注于銀行業(yè)安全的Bank Security統(tǒng)計(jì)���,其GitLab公開存儲(chǔ)庫中有50多家公司的相關(guān)源代碼。
其中一家涉事公司teamapt隨即進(jìn)行了調(diào)查���,發(fā)現(xiàn)他們泄露的代碼主要是駐留在靜態(tài)代碼分析工具上的代碼快照。
對于這件事���,有些專家表示��,公司源代碼被公眾查看的話����,可以使網(wǎng)絡(luò)攻擊者更容易竊取公司的機(jī)密信息����,失去對互聯(lián)網(wǎng)源代碼的控制,就像把銀行的藍(lán)圖交給劫匪一樣���。
目前�����,Kottmann 已應(yīng)部分企業(yè)的要求刪除了代碼��。例如 Daimler AG����,梅賽德斯-奔馳的母公司;聯(lián)想的文件夾也已經(jīng)空空如也�。針對有移除代碼要求的公司,Kottmann 表示愿意遵守�,并樂意提供信息,“幫助公司增強(qiáng)基礎(chǔ)架構(gòu)的安全性”�����。
對于為什么會(huì)有這樣多的公司源代碼泄露��,Tillie Kottamann和一些開發(fā)人員說�,這個(gè)泄露的原因是其公司使用了配置錯(cuò)誤的DevOps工具。因此�,現(xiàn)在一些開發(fā)人員表示他們正在研究CodeAnalyzer軟件,CodeAnalyzer是專業(yè)代碼質(zhì)量管理的代碼審查軟件���,用于實(shí)現(xiàn)靜態(tài)分析���、代碼走查等�����,用于發(fā)現(xiàn)代碼錯(cuò)誤和安全漏洞��。
網(wǎng)絡(luò)安全公司 ImmuniWeb 的創(chuàng)始人兼首席執(zhí)行官 Ilia Kolochenko 指出��,“從技術(shù)角度來看�����,這次的泄露并不算很嚴(yán)重……若沒有每天的支持和改進(jìn),源代碼也會(huì)迅速貶值”�����。
不過就算是這樣���,如此大規(guī)模的公司源代碼的泄露也是要引起注意的��,因?yàn)楣驹创a的泄露是要給公司帶來很大的損失的����。比如,去年���,大疆前員工泄露公司源代碼�����,而這些泄露出去的代碼�,已用于該公司農(nóng)業(yè)無人機(jī)產(chǎn)品���,具有實(shí)用性�。盡管大疆公司采取了合理的保密措施���,但該次事件依然給大疆造成經(jīng)濟(jì)損失116.4萬元人民幣�。
推薦閱讀:
想要了解代碼靜態(tài)分析技術(shù)�,這些知識不可錯(cuò)過
白盒測試的基本方法有哪些?與黑盒測試的區(qū)別�?
比較常用的白盒測試工具有哪些?
Java靜態(tài)代碼掃描怎么做���?Java靜態(tài)代碼掃描工具的使用方法
為什么要做白盒測試���?哪些項(xiàng)目適合白盒測試�?
為什么要進(jìn)行代碼檢查��?靜態(tài)代碼分析工具的優(yōu)勢有哪些
什么情況下需要進(jìn)行靜態(tài)程序分析?常用Java靜態(tài)代碼分析工具的優(yōu)勢
本文內(nèi)容不用于商業(yè)目的���,如涉及知識產(chǎn)權(quán)問題����,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054)�����,我們將立即處理����,馬上刪除�。
sales@spasvo.com
