全球科技公司大规模代码泄露，是否该引起警醒？

作者/来源：小睿发布时间：2020-07-29

在遍地都是网络互联的行业中，代码是开启行业与互联网的钥匙。互联网时代，企业没有了代码，就如同透明化了银行密码。

代码之于企业的重要性不言而喻。此外，如今我们可以用淘宝购物、微信聊天、支付宝付款……这么信息化生活的背后无一不是归因于代码。

近日，全球50多家知名企业源码遭到泄露，代码泄露规模巨大。这些企业遍布技术、金融、电商、制造业等众多领域，其包括华为海思、小米、微软、Adobe、联想、AMD、高通，摩托罗拉、任天堂、迪士尼、江森自控等众多企业。

此外，该代码遭泄露的企业名单或还在增长中。

源码泄露企业

据悉，此次引发全球众多企业源码泄露的原因是由于基础设施配置错误。研究表示，仍有成千上万的公司由于未能正确保护SonarQube安装而暴露了源码。

如今，在互联网上被泄露的这些源码均被发布在在GitLab上一个公开存储库中，并被划分不同的等级，即被标记为exconfidential(绝密)以及Confidential & Proprietary(保密&专有)。

大量泄露的源代码会导致黑客等恶意人士更轻松地手机其中包含的机密信息。

目前而言，相关的漏洞已被开发人员兼逆向工程师Tillie Kottmann收集完成，除了现成来源之外，其还找到不少可以访问源代码的DevOps工具的配置错误。

据安全研究人员Bank Security表示，在GitLab上的存储库中大致包含了50多家公司的源码，此外，其中一些是空文件夹，还有一些是以创建后门的方式而存在的硬编码凭证。

Bank Security

据Kottmann表示，为避免造成直接伤害或是助长更大的恶意攻击，在发布代码库之前，就已经将一些存在硬编码凭证的代码库删除了。

虽然他尽了最大的努力将负面影响最小化，但在发布前却从未联系该名单中的企业进行联系。因而，在发布之后，他已经响应部分企业的要求采取了相关措施，如删除代码等，以帮助企业增强基础架构的安全性。

此外，许多公司仍对代码泄露事件不知情，还有部分公司没有要求删除代码，甚至有公司对Kottmann如何获得代码感兴趣。

名单

由此可见，此次泄露的大多数代码应该不重要，且从技术角度来看，若没有每天的支持和改进，源代码也会迅速贬值。

但由于使用错误的DevOps工具配置而引发的源码暴露问题，仍应引起企业的关注与重视。因为，对于互联网科技企业而言，失去对源代码的控制就像将银行蓝图交给抢劫犯一样。

此外，还会在某种程度上损害企业客户的利益，因而对于企业而言，应该立即采取保护措施，或应修改并持续监控DevOps操作并将其转换为安全的DevSecOps。