首页 > 传媒 > 关键词 > 企业源代码最新资讯 > 正文

全球 50 家知名企业源代码批量外泄,只因一个问题被忽视?

2020-08-07 11:41 · 稿源:站长之家用户投稿

源代码泄露的量级一直在刷新“史上最大规模”。

据外媒报道,上周包括微软、Adobe、AMD、任天堂、华为海思、联想在内、横跨不同领域的 50 多家全球知名企业的源代码遭到泄露,且源代码遭泄露企业的名单还在不断增加中。

虽然很多遭泄露的源代码已由其原始开发人员公开发布,或在很久以前进行了最后更新,且Kottmann也应部分企业的要求删除了代码,但仍有部分源代码存在硬编码凭证,能够被不法分子用来创建后门程序,从而发动更加强大的恶意攻击。

不少安全专家将此次事件定义为有史以来最大范围的一次源代码泄露事件,并表示:“在互联网上失去对源代码的控制,就像把银行的设计图交给抢劫犯一样。”

象征“产品生命线”的源代码,为何被泄露?

源代码指的是编写的最原始程序的代码,主要对象是面向开发者。而人们平常使用的应用程序都是经过源码编译打包以后发布呈现的。

对于一家企业来说,旗下产品的源代码就相当于产品的生命线。如果产品的源代码被其他开发者所掌握,除了能将产品完美“复刻”外,还可以通过阅读源代码的方式找到程序中存在的漏洞从而发起攻击。所以每当有源代码被公开,都将为企业带来巨大的损失。尽管开发团队还在加紧排查此次源代码外泄的主要原因,但有技术人员指出,目前有不少企业所使用的DevOps工具中存在配置错误、配置不当的情况,会导致源代码或其他重要数据泄露。

作为一款云原生、API所驱动的开发工具,DevOps凭借高效、便捷、可靠等优势,被云上企业广泛应用于业务开发和部署的过程中。但由于企业缺乏对异常API调用、SecretKey泄漏等云原生安全问题的检测手段,加上研发人员不当配置的因素,导致企业的源代码面临泄露的风险。

今年年初,某母婴零售企业的研发人员为方便开发,把代码上传到开源代码库-GitHub进行托管,其中有部分代码包含了公有云对象存储桶的域名。但因为安全配置不当,该存储桶开放了公有的读写权限,留下了安全隐患。

不法黑客爬取了这段代码和域名,并通过域名轻松访问了该存储桶。不巧的是,存储桶内还保存了公有云上数据库的外网访问域名以及端口。同时由于该企业的云数据库安全配置不当,导致端口直接暴露在互联网上,不法分子随即对数据库进行爆破攻击,不费吹灰之力就获得了该企业的大量数据和源代码,给企业和消费者都造成了严重的损失

随着产业互联网发展的步伐逐步加快,将有越来越多的企业在将业务和数据迁徙至云上的同时,将业务的开发工具切换成云原生的DevOps,以保证云上业务的开发效率并进一步实现自身数字化转型的目标。但如果缺乏对于云原生安全问题的检测和应对手段,企业就可能因遭到恶意攻击,导致核心数据和源代码被窃取的严重后果。

不当云配置成为导致,云上安全事件发生的主要原因

腾讯安全在 7 月举办的“产业安全公开课·云原生专场”中,腾讯安全高级工程师耿琛在直播中分享了自己的观点:实际上安全配置风险是导致云上安全事件发生的主要原因,也是云上企业最容易忽略的安全问题。

数据显示,大概有42%的云基础设施存在配置风险,76%的云上企业暴露 22 端口。“如果企业的 22 端口暴露在外,且存在弱口令的话,黑客就能够很轻易的攻陷企业的云上设施。” 耿琛表示。

除了需要关注木马、漏洞等传统安全威胁外,云上企业还需要具备针对异常API调用、SecretKey泄露等云原生安全问题的检测能力和手段。耿琛指出,现阶段黑客组织在攻击云上业务和系统的时候,会尝试在GitHub这类开源,对平台上泄露的密钥进行抓取。如果企业的API密钥泄露,那么其云上系统将毫无安全可言。

构建云原生安全体系,或是破局之道

尽管本次源代码大规模泄露的真正原因还在排查中,源代码泄露最终会对哪家企业造成何种程度的损失我们也无从得知。但本次事件仍为所有云上企业敲响了警钟,不当云配置和缺乏针对云原生安全问题检测手段,会成为源代码或其他核心数据泄露的直接原因。

随着我国企业数字化转型进程的不断加速,未来将会有更多企业迁移至云上,但传统安全体系不仅无法适应云上环境,更缺乏对云原生安全问题的应对手段。对此,耿琛建议企业应该以云原生的思路构建云的安全体系来应对云环境中的安全问题,而不是简单的将传统安全体系搬到云上。

“依照我们的实践经验,构建云原生安全运营体系需要云原生为中心,以安全左移、数据驱动及自动化为基本支撑。”耿琛表示,企业如果想要避免因不当云配置或云原生安全问题造成损失,最重要的就是安全左移和自动化这两点。

安全左移,指的是云原生安全运营体系首先应该具备事前感知安全威胁和配置风险检查能力,以构建安全预防体系的方式提升整体安全水平;而自动化则要求云原生安全运营体系需要具备对云原生安全问题自动检测、响应和处置的能力。

但是对于中小型企业来说,自行搭建云原生安全运营体系的难度较大,可以使用市面上较为成熟的安全产品。例如腾讯安全运营中心就可以通过自动化配置检查功能对云上配置风险进行自动化识别和评估,帮助企业杜绝不当云配置所带来的安全隐患。

此外,针对SecretKey泄露及异常API调用等云原生安全问题,腾讯安全运营中心中集成的Cloud UBA架构和泄露监测模块,会保持对用户异常行为和网络黑市的检测,减少因密钥泄露而导致的安全事故。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 50多家科技公司源代码泄露:微软高通等巨头在列

    据外媒报道,包括微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼等 50 家公司在内的源代码被泄露上网。开发人员Tillie Kottmann在受访时称,因为不安全的DevOps应用程序导致公司专有信息暴露,他已经撤回源代码。

  • 50多家科技公司源代码泄露:微软/高通/AMD在列、任天堂受伤最深

    据外媒报道,包括微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼等50家公司在内的源代码被泄露上网。开发人员Tillie Kottmann在受访时称,因为不安全的DevOps应用程序导致公

  • 供不应求?官方商城源代码暗示PS5限购一台

    7月19日,据外媒报道,PlayStation 5的官方商城预购可能会限制一个客户只能购买一台主机。报道称,Reddit玩家Kgarvey近日在查看PlayStation Direct Store网站的源代码时发现会出现一条错误消息

  • 微软、任天堂、迪士尼等50家知名公司内部源代码遭泄漏

    最近, 50 多家知名公司的软件源代码在网上泄露,部分原因是基础设施配置不当。包括Adobe、微软、联想、高通、AMD、摩托罗拉、通用电器、任天堂、迪斯尼、戴姆勒等许多家喻户晓的公司的软件源代码被收集并放在一个在线资源库中。

  • 谷歌相机新版本代码泄露Pixel 5相机功能

    谷歌新泄露的一份资料列出了三款未发布的Pixel手机,包括Pixel 5、Pixel 4a和Pixel 4a 5G。谷歌为Android 11 Beta更新了相机应用,7. 5 版本应用中的代码揭示了Pixel相机在不久将来会有的功能。运动模糊、音频变焦和闪光灯强度都是Camera应用代码中新增加的功能,其中一些功能可能会在今年晚些时候的Pixel5 上启用。

  • switch各类ban机错误代码解释 全部错误代码意思分享

    switch在使用的过程中会出现很多错误代码,一些小伙伴不清楚出现这些错误代码意味着什么,所以今天就来为大家分享一下switch各类ban机错误代码解释。

  • 代码抄袭争议 iOS两大越狱团队“打起来”了

    iOS越狱本身的热度就在降低,万万没想到的是,越狱圈子内部也互相干起仗来。本周,出于保护目的,GitHub基于Unc0ver的DMCA(数字千年版权法)审查要求,移除了Chimera13越狱代码存储。Chime

  • 外媒:代码显示苹果可能要为Mac电脑加入Face ID

    7月27日消息,据国外媒体报道,在公测第三版的macOS Big Sur系统里面,发现了Face ID相关代码。苹果外媒表示,找到了苹果用来描述TrueDepth和Face ID的开发代码“PearlCamera”的支持。Face ID,是苹果用于替代Touch ID而推出的刷脸认证方式,搭载环境光传感器、距离感应器等配件。外媒还表示,找到了同样在iOS里用到的“FaceDetect”和“BioCapture”代码,这都表明苹果可能要为Mac电脑加入Face ID。上月,苹果还表示

  • 一文看懂:零代码平台是什么?怎么选?

    在互联网高速发展的今天,工具产品呈现“傻瓜化”趋势,不是设计师也能用美图秀秀把自己相片处理得美美的;不是摄影师也能用抖音、手机剪辑软件制作出很燃的视频。当然,不会编程也能在零代码平台上搭建出一个企业管理系统。那么,零代码平台到底是什么?我们该怎么选择呢?为方便大家理解,本文将从零代码平台的原因、特点、优势、应用实例、局限性、选择要点六个角度分析:零代码平台到底是什么?到底适不适合你来用?一、为什么

  • 贝壳集团正式提交美股IPO文件 股票代码BEKE

    北京时间7月24日晚,贝壳集团正式向美国证监会提交IPO文件,股票代码为BEKE。贝壳集团此次IPO承销商包括高盛、摩根士丹利、华兴资本等。招股书显示,贝壳集团旗下拥有贝壳、链家两大平台。2019年贝壳集团房产及租赁交易总额(GTV)达2.1万亿。就交易额和交易量来看,贝壳集团是国内最大的居住服务平台,是国内居住服务平台第一股。上一家在美国上市筹集超10亿美元的中国公司是腾讯音乐娱乐集团,

  • 贝壳公寓正式提交招股书,股票代码为BEKE

    7月24日,贝壳向美国证券交易委员会公开递交招股书,拟在纽交所上市,股票代码“BEKE”。贝壳将成为中国居住服务平台第一股。2019年贝壳达成21280亿人民币GTV,营收460亿人民币,同比涨60.6%。

  • TikTok新任CEO表示,公司将公开内容审核算法的代码

    前迪士尼高管凯文·梅耶尔(Kevin Mayer)在担任TikTok的CEO之后,发布首份公开声明,该公司将发布驱动其内容审核算法的代码,以便专家可以实时观察其执行情况。

  • 苹果macOS beta代码暗示Face ID将会应用到Mac电脑上

    苹果Face ID可能很快就会应用到Mac电脑上。苹果公司专有PC操作系统的下一个重大更新macOS Big Sur的beta版代码中显示引用了TrueDepth。这是一个允许Face ID在iOS设备上运行的摄像系统。

  • 代码比车值钱!特斯拉靠“心狠手辣”一年软件收入达百亿

    美国当地时间 7 月 22 日,特斯拉发布 Q2 季度财报,整体营收为 60.4 亿美元,该季度共产生了 4.18 亿美元的自由现金流。同时,特斯拉连续四个季度盈利,如今股价已经达到年初的 370%,市值更是高达 2951 亿美元。

  • 轻流“无代码无边界”产品线上发布会精彩回顾

    7 月 6 日晚 7 点 6 分,轻流通过直播形式开展了精彩纷呈的线上发布会。此次发布会是轻流的线上首秀,在直播中轻流以“无代码无边界”为主题,重磅发布了轻流《无代码开发白皮书》、轻流产品3. 0 版本、轻流开放平台、轻流学院、轻流专家洞见等内容。 无代码无边界,打通人、机器、系统之间的数据 此次线上发布会,轻流创始人&CEO薄智元薄总以“无代码无边界”主题演讲开场,解读了轻流作为无代码开发平台在疫情期间(用 2 天时间?

  • J2Paas低代码平台,助力打造SaaS软件应用新生态!

    对于企业客户来说,安全是需要,面对挑战,性能不可忽视,个性化需求与服务响应也是常悬头顶的达摩克利斯之剑,而SaaS化应用带来的技术进步、业务增长和快速创新的能力是有目共睹的,将为企业实现管理、拓展业务实现更大的助力!然而目前市场上大多数的企业平台,仍停留在传统部署模式和通用办公管理,等同于所有使用的行业企业信息、功能与业务流程和应用相互脱节,日渐陷入复杂管理和信息混杂的局势。那么企业该如何应对业务场景?

  • 奇安信正式登陆科创板 股票代码688561

    今日,网络安全企业奇安信正式登陆科创板,股票代码为“688561”。奇安信今日开盘涨115.7%,报121. 01 元,总市值达822. 40 亿元。

  • 斑马仓三周年丨了解斑马仓,只需要一段神秘代码

    斑马仓专业赋能型家装家居供应链平台“2345”2 个载体3 大供应链体系4 大获客渠道5 大赋能有没有感觉到有点炫酷又有点疑惑?没关系,经过我这张灵巧的小嘴一番解释之后,包您从似懂非懂到彻底懵逼,萝卜配青菜,二锅头兑白开水,5432,准备开吹。一、 2 个载体(线上斑集+线下展厅)线上斑集: 2020 年,斑马仓推出家居建材电商新零售平台——斑集APP,家装家居实体店可以免费在斑集上开店,实现同城售卖。消费者在斑集上即可浏览周边?

  • 教育部提醒查不到代码都是虚假大学 高等学校名单查询地址入口

    8 月 6 日,据教育部官网消息,近年来,经教育、公安、网信部门联合打击,绝大多数以诈骗为目的的「虚假大学」已难以继续招摇撞骗,但在经济利益的诱惑下,仍有可能出现新的「虚假大学」。因此教育部发布通知提醒,在志愿填报时做到:

  • 数字化场景应用平台加持,开课吧学员Python挑战赛秀出代码精彩

    企业在数字化转型过程中,如何应对数字化人才短缺成为了最大挑战。同时,很多企业还意识到在外部人才争夺战日益激烈的大背景下,仅仅靠引进外部人才来弥补企业人才缺口是远远不够的,还需构建自身数字化人才培养的体系,特别是要注重数字化应用人才的培养。同时,企业在数字化应用人才培养问题上,最重要的是具有明确的方向与目标,能够切合所处行业的客观情况和实际应用场景,进行有针对性的人才培养,才能保证培养的效果与投入产

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签