新闻中心

源代码泄露的背后

从 Kottmann 在 GitLab 服务器上公布的部分代码显示,我们发现一些项目是由其原始开发者公开的,亦或是上一次该项目的更新早已是很久以前的事情。

不过,Kottmann 表示,仍有不少公司使用错误配置的 Devops 工具公开源代码。此外,他们也正仍在研究及探索运行着 SonarQube 的服务器,SonarQube 是一个用于自动代码审核和静态分析的开源平台,以发现 Bug 和安全漏洞。Kottmann 认为,目前有成千上万的公司由于未能正确使用及防护 SonarQube 而导致自己的私有代码泄露。

除此之外,在深入研究源代码泄露事件时,Synopsys 网络安全研究中心首席安全策略师 Tim Mackey 表示:“ DevOps、DevSecOps 和 Configuration as Code,仅举几个较为流行的术语,它们都有一个共同特点,即这些工具都将源和潜在的配置信息存储在代码存储库中。许多存储库中使用的基础技术旨在促进分布式团队之间的协作,这些在开源社区中很常见。”

对此,Tim Mackey 进一步解释道,为了避免泄露关键信息,开发者需要对代码存储库的使用进行适当地管理。他表示,:“例如,开发一套 QA 测试工具,相关的开发者可能会将他们的代码放在存储库中。如果该代码作为原型,那么他们在正确管理密码或访问令牌之类的机密信息时,可能不会采取预防措施如果员工在发布其原型代码时采取捷径,而相关员工和公司老板的身份是已知的(例如通过LinkedIn),并且可以映射到一个存储库(例如 GitHub),那么黑客就可以发起有针对性的攻击以寻找错误的判断。”

基于以上,也有不少网友担心泄露的代码会被用于不正规的用途,而其会带来的后果也正如安全专家对《Tom's Guide》所述,“失去对互联网源代码的控制就像是将银行的蓝图交给抢劫犯一样。” 

针对这一观点,众人看法不一。网络安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 表示:“从技术角度来看,这些泄漏并不是那么严重。除非你拥有其他技术,而且具备复杂系统正常运行的人员的权限,否则大多数源代码都是毫无价值。而且,源代码如果没有每天的支持与迭代会迅速失效。因此,不道德的竞争者不太可能从中获得很大的价值,除非他们正在寻找非常特定的软件。”

对此,你怎么看?

详情请登录  http://www.xkzjsj.com

所有课程尽在新科展计算机学校http://www.xkzjsj.com

联系人倪老师:15543625258微信同步

QQ2395263754

详情请登录  http://www.xkzjsj.com

长春市朝阳区同志街与隆礼胡同交汇火炬大厦9楼新科展计算机学校(桂林路附近)


吉林省新科展高级IT网络培训中心是吉林省最大的计算机培训学校
吉林省新科展高级IT网络培训中心学校常年招生,咨询学习请提前电话联系,登记预约学习时间
新科展承诺:100%推荐就业,规定时间内免费重学。

合作伙伴

计算机培训 培训学校