您现在的位置: 首页 > 营销资讯营销资讯
全球 50 家知名企业源代码批量外泄,只因一个问题被忽视?
发布时间:2020-08-07作者:青鸾传媒来源:全网营销点击:
源代码泄露的量级一直在刷新“史上最大规模”。
据外媒报道,上周包括微软、Adobe、AMD、任天堂、华为海思、联想在内、横跨不同领域的 50 多家全球知名企业的源代码遭到泄露,且源代码遭泄露企业的名单还在不断增加中。
虽然很多遭泄露的源代码已由其原始开发人员公开发布,或在很久以前进行了最后更新,且Kottmann也应部分企业的要求删除了代码,但仍有部分源代码存在硬编码凭证,能够被不法分子用来创建后门程序,从而发动更加强大的恶意攻击。
不少安全专家将此次事件定义为有史以来最大范围的一次源代码泄露事件,并表示:“在互联网上失去对源代码的控制,就像把银行的设计图交给抢劫犯一样。”
象征“产品生命线”的源代码,为何被泄露?
源代码指的是编写的最原始程序的代码,主要对象是面向开发者。而人们平常使用的应用程序都是经过源码编译打包以后发布呈现的。
对于一家企业来说,旗下产品的源代码就相当于产品的生命线。如果产品的源代码被其他开发者所掌握,除了能将产品完美“复刻”外,还可以通过阅读源代码的方式找到程序中存在的漏洞从而发起攻击。所以每当有源代码被公开,都将为企业带来巨大的损失。尽管开发团队还在加紧排查此次源代码外泄的主要原因,但有技术人员指出,目前有不少企业所使用的DevOps工具中存在配置错误、配置不当的情况,会导致源代码或其他重要数据泄露。
作为一款云原生、API所驱动的开发工具,DevOps凭借高效、便捷、可靠等优势,被云上企业广泛应用于业务开发和部署的过程中。但由于企业缺乏对异常API调用、SecretKey泄漏等云原生安全问题的检测手段,加上研发人员不当配置的因素,导致企业的源代码面临泄露的风险。
今年年初,某母婴零售企业的研发人员为方便开发,把代码上传到开源代码库-GitHub进行托管,其中有部分代码包含了公有云对象存储桶的域名。但因为安全配置不当,该存储桶开放了公有的读写权限,留下了安全隐患。
不法黑客爬取了这段代码和域名,并通过域名轻松访问了该存储桶。不巧的是,存储桶内还保存了公有云上数据库的外网访问域名以及端口。同时由于该企业的云数据库安全配置不当,导致端口直接暴露在互联网上,不法分子随即对数据库进行爆破攻击,不费吹灰之力就获得了该企业的大量数据和源代码,给企业和消费者都造成了严重的损失
随着产业互联网发展的步伐逐步加快,将有越来越多的企业在将业务和数据迁徙至云上的同时,将业务的开发工具切换成云原生的DevOps,以保证云上业务的开发效率并进一步实现自身数字化转型的目标。但如果缺乏对于云原生安全问题的检测和应对手段,企业就可能因遭到恶意攻击,导致核心数据和源代码被窃取的严重后果。
不当云配置成为导致,云上安全事件发生的主要原因
腾讯安全在 7 月举办的“产业安全公开课