这是有史以来最大范围的一次源代码泄露。微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为、海思等50家科技公司都卷入了近期披露的源代码泄露事件。

对于公司产品而言，源代码就是生命的化身，掌握了其编写方式，就可以复制出一个相同的程序，或通过阅读源代码找到程序的漏洞并进行任意攻击。一旦源代码遭泄露，潜在的危害巨大。因此，企业面临源码泄露事件时，是否应该反思当下自身的源码保护够不够完善？

起因疑似使用配置操作不当的Devops工具

此次大规模源码泄露事件是由Bank Security的安全研究人员发现的，遭泄露的源码被发布在GitLab上一个公开存储库中，并被标记为 “exconfidential” （绝密），以及 “Confidential & Proprietary”（保密&专有），该存储库中大约包含了超过50家公司的源码。

​

编辑

添加图片注释，不超过 140 字（可选）

一名瑞士软件开发工程师上传了这些存储库，然后在自己的Twitter账号上发布了获取链接。尽管他已经尽量删除代码，并联系相关涉事公司，但是因为这些源代码公之于众，任何人都可以访问，这为网络攻击者找到漏洞、窃取企业机密信息埋下了隐患。

何以造成如此大规模的源码泄露事件？

起因疑似是因为使用了错误配置的Devops工具公开源代码。配置不当造成的安全事件也不在少数。亚马逊AWS S3存储桶一配置不当造成大规模的数据泄露事件想必大家也都还记得。当然源码泄露也还有其他原因，比如黑客攻击、员工操作失误等。比如近期曝光的任天堂因遭受黑客攻击而导致源码泄露。

​

编辑

添加图片注释，不超过 140 字（可选）

此外，员工的操作失误造成的事件，比如大疆的源码泄露。2019年，大疆前员工泄露公司源代码，深圳法院以侵犯商业秘密罪判处大疆前员工有期徒刑六个月，并处罚金20万人民币。而这些泄露出去的代码，已用于该公司农业无人机产品，具有实用性。尽管大疆公司采取了合理的保密措施，但该次事件依然给大疆造成经济损失116.4万元人民币。

游戏领域更是源码泄露的重灾区。除了任天堂的源码泄露事件，2019年Valve发生了重大泄露事件，有人泄露了《CS：GO》和《军团要塞2》的源代码，并提供下载链接。负责对《军团要塞2》进行志愿维护的玩家社区已经无限期关停。

​

编辑

添加图片注释，不超过 140 字（可选）

2019 年 4 月，B站整个网站后台工程源码泄露，并且“不少用户密码被硬编码在代码里面，谁都可以用。”当日B站股价跌 3.27%。虽然很快被封禁，B站也已经报警处理，但有不少网友克隆了代码库，隐患已经埋下。

​

编辑

添加图片注释，不超过 140 字（可选）

企业应该如何保护源代码？

源代码对企业的重要性不言而喻，因此加强源代码保护至关重要。可以从源代码本身、内部企业人员权限和做好监控审计等三方面着手，进一步加强企业重要源代码的安全性。

​

编辑

添加图片注释，不超过 140 字（可选）

一、对源码进行分级，确保和明确重要源码的保护措施

企业内部源码具有优先层级，明确哪些核心代码需要被保护。明确源码重要性分级后，可对重要源码进行加密，打造核心数据管理平台。目前对源码加密的办法有两种：一种是物理性的“源码加密”，一种是软件性的源码加密。

物理性“源码加密”就是指截断外网，封掉U口或者锁定机箱，让开发者处于一种封闭的状态。这种方法是可以达到效果的，弊端就是如若封掉U口，对于员工的工作使用会造成很大的影响，大大降低了工作的效率。

软件性的源码加密是指通过软件对源码进行保护。目前市面上最流行的源码加密软件机制是一种对开发人员的操作环境进行加密的软件，不用对任何硬件做修改，开发人员的源码只能存放在公司范围里，拿不出加密的空间。如果想要拿出文件的话则需走审批流程。

二、精细化访问控制，对于员工的权限进行限制

尽管公司做好源码加密措施，但是仍然防不住内部员工造成的安全风险。比如大疆前员工泄漏源码被判刑则是一个案例。

对于外部的威胁，确实可以利用技术来防御。但是对于内部的“人”的因素一方面需要限制员工的访问权限或者虚拟化访问，另一方提高员工的安全意识和产权意识。

从安全技术上进行数据管理，如数据加密、数据防泄漏、数据溯源、访问权限管控等。同时，进行分权管理，划分数据等级加密存储，员工等级不同，访问权限就不同，一般员工不能接触到核心数据，尽可能降低核心数据泄露的风险。

在员工在入职时，应签署保密协议和竞业禁止协议。其中包括公司现有的、以及正在开发或构想之中的包括源码在内的所有产品技术开发信息，员工不得私自对外透露。

加强员工保密意识以及相关法律意识，权责分明，让员工了解一旦泄密事件发生自身需要背负的法律责任。或者通过企业文化教育，让员工了解源码数据对企业发展的重要性，同时提高安全防护意识。

三、做好监控和安全审计

企业应配合管理制度、保密协议、审计日志，确保有据可查、有据可依。现在大部分客户对于软件产品的安全考量基本集中开发后期，在测试阶段引入。常用的软件风险评估、漏洞扫描、渗透测试等都是在软件开发完成后进行。

通常这个阶段预留的时间非常少，不仅修复的难度高，修复、测试的成本极高，而且存在大量的漏洞错报和误报的情况。当通过后期测试发现问题后，人工进行代码审查去查找漏洞所在代码位置时，往往效率低、准确率低、无法定位具体问题代码行。

因此，企业应从开发早期进行安全介入，做好安全审计，快速精准地定位问题代码行，对漏洞进行实时管理，从源码层级上进行安全保护，防止因配置不当、软件编写存在bug等问题造成的源码泄露。

四、引进源代码防泄密软件强制规范

SDC沙盒防泄密产品，采用内核纵深级防御，是驱动级的防泄密软件。不对文件加密，沙盒犹如一个容器，容器里是我们的机密资料。我们工作的文件都是在沙盒里。沙盒与普通电脑完全隔离。你或许会问，我要访问外网怎么办，所有要上网的程序都从托盘启动，如浏览器，聊天软件等。SDC沙盒分成如下几个部分：管理端，机密端，文件外发，客户端。

管理端：沙盒控制中心，控制所有的客户端。对客户端的控制涵盖方方面面。那我就举几个控制功能： 反截屏 当有人想通过远程到员工电脑查看公司的一些机密信息时，SDC客户端会对远程的软件进行控制，远程的人看到的是黑屏。但是员工这边电脑正常使用。能控制就能放开。 剪贴板 沙盒模式下员工想通过剪贴板复制粘贴文件之类的公司资料到外网，SDC沙盒是控制的，可以控制最大剪贴字数。

机密端：为服务器保驾护航，普通电脑无权访问机密服务器。只有沙盒电脑能访问，不对公司资料进行任何加密行为，最大程度保护好资料。

客户端：普通模式及沙盒模式。所有软件安装都要在沙盒模式下。工作必须在沙盒模式下，因为所有的工作资料在加密盘，只有沙盒模式才能访问加密盘。沙盒模式下与外界是隔离的。要访问外网只有从托盘启动的程序才能，而且遵循只进不出的原则，能从外网获取文件到沙盒电脑，但要从本机将文件发到外网只有走文件审批。

文件外发：一台电脑上装上文件外发系统。这台电脑的ip即是文件外发的地址。每个沙盒员工匹配一个文件外发的账号。具体审批的方法不在这里累赘。

​

编辑切换为居中

添加图片注释，不超过 140 字（可选）

企业安全事件回顾：企业怎么才能做好源代码防泄露？相关推荐

1. 评测回顾 | 天空卫士以人为本的数据防泄露系统

   1.产品与行业背景 随着数字经济的发展,数据已成为重要生产要素之一,数据安全直接关乎国家安全与社会经济发展,数据资产安全保护.数据防泄露技术产品应用和产业化发展备受社会普遍关注.数据资产保护不仅要解决 ...

2. 企业如何做好源代码防泄密

   近年来,电脑以及互联网应用在中国的普及和发展,已经深入到社会每个角落, 政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于电脑和网络.电 子政务,无纸办公.MIS.ERP.OA 等系统也在企 ...

3. 环境加密真的适合源代码防泄露嘛?一些个人分析

   1源代码加密软件需求背景: 目前很多企业都拥有自己的研发机构,其研发成果往往体现在源代码和技术文档方面,这些核心机密,如何防止研发参与人员泄密,如何防止核心成员把研究成果带走另立山头,或者提供给竞争对 ...

4. 沙盒在源代码防泄露领域的表现分析

   ​ 随着计算机技术.通信技术和控制技术的发展,工业自动化控制已经开始向网络化方向发展,从最初的CCS(计算机集中控制系统),到第二代的DCS(分散控制系统),发展到现在流行的FCS(现场总线控制系统) ...

5. 源代码防泄密技术分析

   源代码类数据特征,决定源代码防泄密需求,也明确了源代码防泄密方案的评估要点. 一.源代码类数据特征 一个代码文件里面包含的进程文件可能成千上万,且相互调用关系复杂,完全不同于普通文档文件(进程单一). ...

6. 回顾企业信息化十年 探讨未来发展方向

   一.2000年之前 企业信息化更史前时代我就不谈了,中国企业信息化成长期是在1990年代,主要是单机应用,dbase数据库技术,DOS操作系统平台.那时候企业用计算机主要用于文件打字/表格编辑,偶尔也 ...

7. 企业网络推广专员浅析企业网络推广日常维护要做好

   每个企业网站在运营优化期间都需要做好网站日常维护工作,对于站长来说网站维护工作常常伴随着一些专业技术性较强的问题需要解决,如果企业客户仅仅想要从性价比上强调维护,选择费用低廉的维护公司没有任何价值可言 ...

8. 企业建设什么样的网站才能符合用户？

   如今建一个网站相对之前,无论是技术方面,还是用户需求方面都取得了一定的进展,一个好的网站不仅仅需要在技术方面获得突破,更重要是具备一定传播价值以及能不能满足用户的需求.那企业建设什么样的网站才能符合用 ...

9. 巴比特 | 元宇宙每日必读：企业需要具备哪些资质才能开展NFT相关业务？

   摘要:在现有的法律框架之下,如何合法合规开展NFT相关业务仍然是一个值得讨论和研究的议题.其中的一个前提性问题便是,企业需要具备何种资质才能开展NFT相关业务?本文将为大家介绍一下当前阶段开展NFT相 ...

最新文章

1. java设计模式-适配器模式
2. 更好用的3D打印“活体”墨水来了，合成生物的新工具包！
3. python中使用中文字符，文件首行添加# -*- coding: utf-8 -*-后仍然报错(unicode error) ‘utf-8‘ codec can‘t decode byte 0xc4
4. SpringMVC概述
5. OpenCV使用Tensorflow2-Keras模型
6. 张善友： .NET社区运营 | 2021 中国开发者生态峰会
7. OJ1021: 三个整数的最大值
8. 理解 Symbol.toStringTag 用法
9. homestead安装swoole扩展
10. CCS 6.0 下载
11. CentOS hping3安装
12. 常见的图标库有哪些？
13. 酒店返现应用评测: 企鹅竟然没有模仿？
14. Linux下显示IP地理位置信息的小工具-nali
15. js室内地图开发_支付宝小程序室内地图导航开发-支付宝小程序JS加载esmap地图...
16. win7一激活就蓝屏
17. 虚拟化主机系统在线web管理平台
18. 电脑公司特别版5.0的驱动集成方法
19. 社会人文跨计算机考研,各位跨专业考研党，不要违反这个规则，不然结果会让人遗憾...
20. 驰骋工作流自定义表单的需求--表单设计器

热门文章

1. Peter Kafka报道DailyMotion网站资深管理者加入DFJ Gotham
2. 毕业的大学生如何寻找合适的大厂工作
3. 狂神java web p30 sql语句
4. 使用Virtuso绘制电路图问题
5. 长见识了: 一篇文章带你看懂 硬盘数据恢复软件的原理
6. B.FRIENDit台式笔记本外接白色超薄静音防尘有线usb游戏办公巧克力键盘KB1430
7. Python3如何使用PIL批量给图片加圆角和黑边
8. 苹果所有设备参数大全
9. QScintilla的各种颜色字体等设置
10. 计算机系统——虚拟内存