http://dcrdx.com/

安全行业“艳照门” :企业如何反思源码保护?

这是史上范围最大的源代码泄露。 微软、adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为、海信等50家科技公司卷入近期披露的源代码泄露事件。

对公司产品来说,源代码是生命的化身,掌握了它的编写方法,就可以复制同一程序,阅读源代码找出程序的漏洞,进行任意攻击。 如果源代码泄露,潜在的危害会很大。 因此,在企业面临源代码泄露事件时,是否应该反思当前源代码的保护还不够?

起因疑似使用配置操作不当的Devops工具

这次大规模的源代码泄露事件是由Bank Security的安全研究人员发现的,泄露的源代码发布在GitLab的公共存储库中,“exexconfidential”、“confidential”

瑞士软件开发工程师上传了这些存储库,并在自己的推特帐户上发布了获取链接。 他尽可能删除代码并联系相关公司,但这些源代码已公开,任何人都可以访问。 这就隐藏了网络攻击者发现漏洞和窃取企业机密信息的危险。

为什么引起这么大规模的源代码泄露事件?

原因可能是使用错误配置的Devops工具发布了源代码。 不正确的配置导致的安全事件也不少。 还记得亚马逊AWS S3的铁桶配置不当导致的大规模数据泄露事件吧。 当然,源代码的泄露也有其他原因,如黑客入侵、员工操作错误等。 例如,最近曝光的任天堂受到黑客攻击,源代码泄露。

此外,员工操作错误导致的事件,如大疆源代码泄露。 2019年,大疆前员工泄露公司源代码,深圳法院以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金20万元人民币。 这些泄漏的代码用于该公司的农业无人机产品,具有实用性。 大疆公司采取了合理的保密措施,但该事件仍给大疆带来经济损失116.4万元人民币。

游戏领域是源代码泄露的重灾区。 不仅是任天堂的源代码泄露事件,2019年Valve还发生了重大的泄露事件。 有人泄露了《CS:GO》和《军团要塞2》的源代码,并提供了下载链接。 负责《军团要塞2》志愿者活动的玩家社区已无限期关闭。

2019年4月,整个Web站点的后台工程资源流失,“很多用户密码都被代码硬编码,谁都可以使用”。 当天,b站股价下跌3.27。 虽然很快被屏蔽,B站也报警处理,但很多网友克隆了代码库,埋下了隐患。

企业应该如何保护源代码?

源代码对企业的重要性不言而喻,因此加强源代码保护至关重要。 可以从源代码本身、内部企业人员权限、进行监测审计等三个方面着手,进一步加强企业重要源代码的安全性。

一、对源码进行分级,确保和明确重要源码的保护措施

明确内部源代码具有优先级,需要保护哪些核心代码。 明确源代码的重要性级别后,可以加密关键源代码并构建核心数据管理平台。 目前,加密源代码的方法有两种。 一种是物理的“源代码加密”,另一种是软件的源代码加密。

物理“源代码加密”是指断开外部网,关闭u端口或锁定外壳,使开发人员成为封锁状态。 这种方法可以起到很好的效果,但弊端是堵住u的嘴会严重影响员工的工作使用,导致工作效率大幅下降。

软件式源代码加密是指用软件保护源代码。 目前市场上最流行的源代码加密软件机制是对开发人员操作环境进行加密的软件,不需要对硬件进行修改,开发人员的源代码只能存储在公司范围内,不能占用加密空间。 如果想提交文件,就必须推进审批流程。

二、精细化访问控制,对于员工的权限进行限制

公司正在对源代码进行加密,但无法防范内部人员带来的安全风险。 例如,大疆前员工因泄露源代码而被判刑就是一例。

对于外部威胁,确实可以利用技术进行防御。 但是,对于内部的“人”要素,一方面需要限制员工的访问权限,或者虚拟化访问,另一方面需要提高员工的安全意识和产权意识。

从安全技术进行数据管理,包括数据加密、防止数据泄漏、数据跟踪和访问权限管理。 同时进行分权管理,划分数据级别对加密存储进行加密,不同级别的员工访问权限不同,一般员工无法访问核心数据,将核心数据泄露的风险降到最低。

员工入职时,必须签署保密合同和竞业禁止合同。 其中包括公司现有以及所有产品技术开发信息,包括正在开发或构想的源代码,员工不得擅自向外界披露。

强化员工保密意识和相关法律意识,明确权责,让员工了解发生泄密事件时自己应承担的法律责任。 或者通过企业文化教育,让员工了解源数据对企业发展的重要性,同时提高安全意识。

三、做好监控和安全审计

企业应当配合管理制度、保密合同、审计日志,确保可查、有据。 目前,大多数客户对软件产品的安全考虑基本集中在开发后期,并在测试阶段部署。 一般软件风险评估、漏洞扫描、渗透测试等在软件开发完成后进行。

通常这个阶段预留的时间非常少,修复难度大,不仅修复、测试成本极高,而且存在大量漏洞误报和误报。 后期测试发现问题后,人工进行代码审核查找漏洞代码位置,往往效率低、准确率低,无法确定具体的问题代码行。

因此,企业在开发早期进行安全干预,做好安全审计,快速准确地识别问题代码行,实时管理漏洞,从源头上进行安全保护,出现配置不当、软件编写存在漏洞等问题

标签:安全行业“淫秽图片泄露丑闻”:企业如何反思源代码保护?

文章来源:http://www.dcrdx.com/

上一篇:Pikachu靶场通关之Cross-site request forgery

下一篇:黑客信息网:CTF-REVERSE练习之逆向初探

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读