不管对于哪一家公司来说,公司源代码都是非常重要的。可以说,只要掌握了源代码就可以复制一个相同的应用程序,而最近竟然发生了一件50多家公司源代码被泄露的事件,并且华为海思、联想、微软、高通、联发科、通用电气、任天堂、迪士尼等公司也在其中。
据外媒报道,遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有)。根据安全研究人员 Bank Security 提供的信息,该存储库中大约包含了超过 50 家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证。(一种创建后门的方式。)
这些泄露的代码由瑞士黑客Tillie Kottamann收集。据专注于银行业安全的Bank Security统计,其GitLab公开存储库中有50多家公司的相关源代码。
其中一家涉事公司teamapt随即进行了调查,发现他们泄露的代码主要是驻留在静态代码分析工具上的代码快照。
对于这件事,有些专家表示,公司源代码被公众查看的话,可以使网络攻击者更容易窃取公司的机密信息,失去对互联网源代码的控制,就像把银行的蓝图交给劫匪一样。
目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann 表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。
对于为什么会有这样多的公司源代码泄露,Tillie Kottamann和一些开发人员说,这个泄露的原因是其公司使用了配置错误的DevOps工具。因此,现在一些开发人员表示他们正在研究CodeAnalyzer软件,CodeAnalyzer是专业代码质量管理的代码审查软件,用于实现静态分析、代码走查等,用于发现代码错误和安全漏洞。
网络安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 指出,“从技术角度来看,这次的泄露并不算很严重……若没有每天的支持和改进,源代码也会迅速贬值”。
不过就算是这样,如此大规模的公司源代码的泄露也是要引起注意的,因为公司源代码的泄露是要给公司带来很大的损失的。比如,去年,大疆前员工泄露公司源代码,而这些泄露出去的代码,已用于该公司农业无人机产品,具有实用性。尽管大疆公司采取了合理的保密措施,但该次事件依然给大疆造成经济损失116.4万元人民币。
推荐阅读:
想要了解代码静态分析技术,这些知识不可错过
白盒测试的基本方法有哪些?与黑盒测试的区别?
比较常用的白盒测试工具有哪些?
Java静态代码扫描怎么做?Java静态代码扫描工具的使用方法
为什么要做白盒测试?哪些项目适合白盒测试?
为什么要进行代码检查?静态代码分析工具的优势有哪些
什么情况下需要进行静态程序分析?常用Java静态代码分析工具的优势
sales@spasvo.com
