最近�����,朋友圈被一則“泄露公司源代碼造成超百萬損失,大疆前員工被罰20萬����、獲刑半年”的消息刷屏了。
事情是這樣的���,2017年9月初��,大疆的漏洞舉報郵箱收到一封來自安全研究員 Kevin Finisterr 的海外郵件���,對方稱在 GitHub 代碼分享社區(qū)上����,發(fā)現(xiàn)有包含大疆源代碼等重要敏感信息的鏈接�。
攻擊者可以通過其獲取SSL證書的私鑰,并訪問存儲在大疆服務(wù)器上的客戶敏感信息(諸如用戶信息�、飛行日志等私密信息都能被下載)。
大疆調(diào)查后發(fā)現(xiàn)�����,這事居然和某位前員工有關(guān)���。
據(jù)悉���,這位員工畢業(yè)于著名高校,在大疆的子公司擔(dān)任軟件工程師���,曾負(fù)責(zé)編寫農(nóng)業(yè)無人機的管理平臺和農(nóng)機噴灑系統(tǒng)代碼�����。
他曾在 GitHub 網(wǎng)站上開設(shè)了賬號��,并建立了“公有倉庫”����。
之后,其通過一個計算機指令����,將含有公司農(nóng)業(yè)無人機的管理平臺和農(nóng)機噴灑系統(tǒng)兩個模塊的代碼上傳至 GitHub 網(wǎng)站的“公有倉庫”�����,造成了源代碼泄露�����。
Kevin Finisterr 在推特公布泄密員工的郵件經(jīng)鑒定����,這些泄露出去的代碼已用于大疆農(nóng)業(yè)無人機產(chǎn)品,屬于商業(yè)秘密����。
目前該員工已自首���,此次泄露事件給大疆造成經(jīng)濟損失116.4萬元人民幣。
法院于近日作出一審判決��,以侵犯商業(yè)秘密罪判處大疆前員工有期徒刑六個月�,并處罰金20萬人民幣。
公司源代碼被員工有意無意泄露的事件太多了��。
4月22日��,B站的網(wǎng)站后臺工程源碼遭惡意泄露��,被一個名為“openbipbip”的用戶放到了開源項目平臺Github上���。
內(nèi)容包含了項目規(guī)范和負(fù)責(zé)人信息兩部分�����,后者還涵蓋了詳細的業(yè)務(wù)�、具體負(fù)責(zé)人等信息��。
在上線不到 6 小時的時間里��,該repo斬獲 5000+ Star,6000+Fork���。當(dāng)天17:30 左右����,Github 才徹底刪除了該倉庫�����。
事后����,B站發(fā)表聲明稱����,泄露的部分代碼屬于較老的歷史版本,并且已執(zhí)行了主動防御措施�。
多方爆料都將這起泄露事件指向內(nèi)部員工蓄意報復(fù),但這些與不知被拷貝了多少份的源碼隱患相比也不甚重要了�����。
畢竟���,如果有人想通過后端代碼攻擊B站����,無需再進行逆向工程猜測運作原理和漏洞位置,可以直接從源碼中找到很多漏洞���。
在此之前���,今年2月,某云代碼托管平臺因項目權(quán)限設(shè)置存在歧義�,導(dǎo)致開發(fā)者操作失誤,造成至少 40 家以上企業(yè)的 200 多個項目代碼泄露事件同樣鬧得沸沸揚揚��。
爆料者稱����,之所以出現(xiàn)這種情況,可能是因為這些公司的程序員在給項目建庫時操作不當(dāng)�����,將項目權(quán)限設(shè)置成“平臺公開”���。
因為當(dāng)時的某云代碼托管業(yè)務(wù)還是全英文平臺�����,可能很多企業(yè)在創(chuàng)建項目的時候會誤選擇“internal”��,也就是“平臺公開”�。
隨后,某云在其新浪微博上發(fā)布了關(guān)于 Internal 訪問權(quán)限的說明����,稱已增強了對 Internal 權(quán)限的中文注解,并發(fā)出全站通知提醒��。
更早些時候�����,2018年2月���,一位名為 "ZioShiba" 的用戶在開源代碼托管平臺 GitHub 上泄露了蘋果公司專有的 iBoot 源代碼。
根據(jù)蘋果公司的聲明�,遭到泄露的是兩年前 iOS 9 的源代碼,與現(xiàn)在相隔甚遠�����,不會導(dǎo)致大規(guī)模安全事件。
但仍然可能被相關(guān) iOS 安全研究人員和越獄愛好者加以利用��,在 iPhone 鎖定系統(tǒng)中發(fā)現(xiàn)其他新的漏洞�。
這起源代碼泄露事件也與員工逃不開關(guān)系,據(jù)說某員工在蘋果工作時��,在幾位越獄愛好者朋友的 " 慫恿 " 下拿來了 iBoot 源代碼以及其他一些尚未泄露的代碼����,并分享到了五人小群體中。
這位員工很有求生欲地表示����,自己只是想拿到源代碼進行相關(guān)的安全研究,完全沒有任何對蘋果的不滿�����。
源代碼之于互聯(lián)網(wǎng)公司是核心競爭力�,企業(yè)能否在同行中展露頭角,具備核心競爭力�����,源碼的保護起到了決定性的作用。
知乎上有不少如何防止源碼泄露的相關(guān)問題�,底下網(wǎng)友們的回答各有特色:知乎網(wǎng)友章孜,大多數(shù)軟件公司是依靠程序員的自尊心�����,泄露出去實在特么丟人啊&helpp;&helpp;知乎網(wǎng)友蘿魏紫:我司的代碼���,所有能接觸到的人都一致認(rèn)為��,泄漏出去也沒關(guān)系�����,自帶混淆不說����,搞懂的effort遠大于再造一套新的代碼的effort��。
知乎網(wǎng)友cnsinda:目前我所知道的對源代碼加密的辦法有兩種:一種是物理性的“源代碼加密”���,一種是軟件性的源代碼加密��。
物理性“源代碼加密”就是指截斷外網(wǎng),封掉U口或者鎖機箱,讓開發(fā)者處于一種封閉的狀態(tài)�����。
這種方法是可以達到效果的�����,弊端就是如若封掉U口�,對于員工的工作使用會造成很大的影響,大大降低了工作的效率���,并且員工開發(fā)查資料很不方便��,如若給每人配一臺電腦�,公司的成本將大大提高���。這樣的操作方式員工的抵觸心理也會頗大�。
軟件性的源代碼加密是指通過軟件對源碼進行保護�����。
目前市面上最流行的源代碼加密軟件機制是一種對開發(fā)人員的操作環(huán)境進行加密的軟件��,不用對任何硬件做修改,開發(fā)人員的源代碼只能存放在公司范圍里����,拿不出加密的空間。如果想要拿出文件的話則需走審批流程�。
