源代碼泄露的量級(jí)一直在刷新“史上規(guī)模”。

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括葫蘆島網(wǎng)站建設(shè)、葫蘆島網(wǎng)站制作、葫蘆島網(wǎng)頁制作以及葫蘆島網(wǎng)絡(luò)營(yíng)銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，葫蘆島網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到葫蘆島省份的部分城市，未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

據(jù)外媒報(bào)道，上周包括微軟、Adobe、AMD、任天堂、華為海思、聯(lián)想在內(nèi)、橫跨不同領(lǐng)域的50多家全球知名企業(yè)的源代碼遭到泄露，且源代碼遭泄露企業(yè)的名單還在不斷增加中。

雖然很多遭泄露的源代碼已由其原始開發(fā)人員公開發(fā)布，或在很久以前進(jìn)行了最后更新，且Kottmann也應(yīng)部分企業(yè)的要求刪除了代碼，但仍有部分源代碼存在硬編碼憑證，能夠被不法分子用來創(chuàng)建后門程序，從而發(fā)動(dòng)更加強(qiáng)大的惡意攻擊。

不少安全專家將此次事件定義為有史以來范圍的一次源代碼泄露事件，并表示：“在互聯(lián)網(wǎng)上失去對(duì)源代碼的控制，就像把銀行的設(shè)計(jì)圖交給搶劫犯一樣。”

象征“產(chǎn)品生命線”的源代碼，為何被泄露？

源代碼指的是編寫的最原始程序的代碼，主要對(duì)象是面向開發(fā)者。而人們平常使用的應(yīng)用程序都是經(jīng)過源碼編譯打包以后發(fā)布呈現(xiàn)的。

對(duì)于一家企業(yè)來說，旗下產(chǎn)品的源代碼就相當(dāng)于產(chǎn)品的生命線。如果產(chǎn)品的源代碼被其他開發(fā)者所掌握，除了能將產(chǎn)品完美“復(fù)刻”外，還可以通過閱讀源代碼的方式找到程序中存在的漏洞從而發(fā)起攻擊。所以每當(dāng)有源代碼被公開，都將為企業(yè)帶來巨大的損失。盡管開發(fā)團(tuán)隊(duì)還在加緊排查此次源代碼外泄的主要原因，但有技術(shù)人員指出，目前有不少企業(yè)所使用的DevOps工具中存在配置錯(cuò)誤、配置不當(dāng)?shù)那闆r，會(huì)導(dǎo)致源代碼或其他重要數(shù)據(jù)泄露。

作為一款云原生、API所驅(qū)動(dòng)的開發(fā)工具，DevOps憑借高效、便捷、可靠等優(yōu)勢(shì)，被云上企業(yè)廣泛應(yīng)用于業(yè)務(wù)開發(fā)和部署的過程中。但由于企業(yè)缺乏對(duì)異常API調(diào)用、SecretKey泄漏等云原生安全問題的檢測(cè)手段，加上研發(fā)人員不當(dāng)配置的因素，導(dǎo)致企業(yè)的源代碼面臨泄露的風(fēng)險(xiǎn)。

今年年初，某母嬰零售企業(yè)的研發(fā)人員為方便開發(fā)，把代碼上傳到開源代碼庫-GitHub進(jìn)行托管，其中有部分代碼包含了公有云對(duì)象存儲(chǔ)桶的域名。但因?yàn)榘踩渲貌划?dāng)，該存儲(chǔ)桶開放了公有的讀寫權(quán)限，留下了安全隱患。

不法黑客爬取了這段代碼和域名，并通過域名輕松訪問了該存儲(chǔ)桶。不巧的是，存儲(chǔ)桶內(nèi)還保存了公有云上數(shù)據(jù)庫的外網(wǎng)訪問域名以及端口。同時(shí)由于該企業(yè)的云數(shù)據(jù)庫安全配置不當(dāng)，導(dǎo)致端口直接暴露在互聯(lián)網(wǎng)上，不法分子隨即對(duì)數(shù)據(jù)庫進(jìn)行爆破攻擊，不費(fèi)吹灰之力就獲得了該企業(yè)的大量數(shù)據(jù)和源代碼，給企業(yè)和消費(fèi)者都造成了嚴(yán)重的損失

隨著產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展的步伐逐步加快，將有越來越多的企業(yè)在將業(yè)務(wù)和數(shù)據(jù)遷徙至云上的同時(shí)，將業(yè)務(wù)的開發(fā)工具切換成云原生的DevOps，以保證云上業(yè)務(wù)的開發(fā)效率并進(jìn)一步實(shí)現(xiàn)自身數(shù)字化轉(zhuǎn)型的目標(biāo)。但如果缺乏對(duì)于云原生安全問題的檢測(cè)和應(yīng)對(duì)手段，企業(yè)就可能因遭到惡意攻擊，導(dǎo)致核心數(shù)據(jù)和源代碼被竊取的嚴(yán)重后果。

不當(dāng)云配置成為導(dǎo)致，云上安全事件發(fā)生的主要原因

騰訊安全在7月舉辦的“產(chǎn)業(yè)安全公開課·云原生專場(chǎng)”中，騰訊安全高級(jí)工程師耿琛在直播中分享了自己的觀點(diǎn)：實(shí)際上安全配置風(fēng)險(xiǎn)是導(dǎo)致云上安全事件發(fā)生的主要原因，也是云上企業(yè)最容易忽略的安全問題。

數(shù)據(jù)顯示，大概有42%的云基礎(chǔ)設(shè)施存在配置風(fēng)險(xiǎn)，76%的云上企業(yè)暴露22端口。“如果企業(yè)的22端口暴露在外，且存在弱口令的話，黑客就能夠很輕易的攻陷企業(yè)的云上設(shè)施。” 耿琛表示。

除了需要關(guān)注木馬、漏洞等傳統(tǒng)安全威脅外，云上企業(yè)還需要具備針對(duì)異常API調(diào)用、SecretKey泄露等云原生安全問題的檢測(cè)能力和手段。耿琛指出，現(xiàn)階段黑客組織在攻擊云上業(yè)務(wù)和系統(tǒng)的時(shí)候，會(huì)嘗試在GitHub這類開源，對(duì)平臺(tái)上泄露的密鑰進(jìn)行抓取。如果企業(yè)的API密鑰泄露，那么其云上系統(tǒng)將毫無安全可言。

構(gòu)建云原生安全體系，或是破局之道

盡管本次源代碼大規(guī)模泄露的真正原因還在排查中，源代碼泄露最終會(huì)對(duì)哪家企業(yè)造成何種程度的損失我們也無從得知。但本次事件仍為所有云上企業(yè)敲響了警鐘，不當(dāng)云配置和缺乏針對(duì)云原生安全問題檢測(cè)手段，會(huì)成為源代碼或其他核心數(shù)據(jù)泄露的直接原因。

隨著我國(guó)企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程的不斷加速，未來將會(huì)有更多企業(yè)遷移至云上，但傳統(tǒng)安全體系不僅無法適應(yīng)云上環(huán)境，更缺乏對(duì)云原生安全問題的應(yīng)對(duì)手段。對(duì)此，耿琛建議企業(yè)應(yīng)該以云原生的思路構(gòu)建云的安全體系來應(yīng)對(duì)云環(huán)境中的安全問題，而不是簡(jiǎn)單的將傳統(tǒng)安全體系搬到云上。

“依照我們的實(shí)踐經(jīng)驗(yàn)，構(gòu)建云原生安全運(yùn)營(yíng)體系需要云原生為中心，以安全左移、數(shù)據(jù)驅(qū)動(dòng)及自動(dòng)化為基本支撐。”耿琛表示，企業(yè)如果想要避免因不當(dāng)云配置或云原生安全問題造成損失，最重要的就是安全左移和自動(dòng)化這兩點(diǎn)。

安全左移，指的是云原生安全運(yùn)營(yíng)體系首先應(yīng)該具備事前感知安全威脅和配置風(fēng)險(xiǎn)檢查能力，以構(gòu)建安全預(yù)防體系的方式提升整體安全水平；而自動(dòng)化則要求云原生安全運(yùn)營(yíng)體系需要具備對(duì)云原生安全問題自動(dòng)檢測(cè)、響應(yīng)和處置的能力。

但是對(duì)于中小型企業(yè)來說，自行搭建云原生安全運(yùn)營(yíng)體系的難度較大，可以使用市面上較為成熟的安全產(chǎn)品。例如騰訊安全運(yùn)營(yíng)中心就可以通過自動(dòng)化配置檢查功能對(duì)云上配置風(fēng)險(xiǎn)進(jìn)行自動(dòng)化識(shí)別和評(píng)估，幫助企業(yè)杜絕不當(dāng)云配置所帶來的安全隱患。

此外，針對(duì)SecretKey泄露及異常API調(diào)用等云原生安全問題，騰訊安全運(yùn)營(yíng)中心中集成的Cloud UBA架構(gòu)和泄露監(jiān)測(cè)模塊，會(huì)保持對(duì)用戶異常行為和網(wǎng)絡(luò)黑市的檢測(cè)，減少因密鑰泄露而導(dǎo)致的安全事故。

網(wǎng)站名稱：全球50家知名企業(yè)源代碼批量外泄，只因一個(gè)問題被忽視？
網(wǎng)站鏈接：http://weahome.cn/article/cjeihj.html