什么样的委屈?前员工泄露大疆源代码被罚20万元消息刷屏。事情是这样的,2017年9月上旬,大疆漏洞报告邮箱收到一封来自安全研究员KevinFinisterr的海外邮件,邮件称在GitHub代码共享社区发现了大疆源代码等重要敏感信息。关联。黑客可以利用它获取SSL证书的私钥,访问存储在DJI服务器上的客户敏感信息(可以下载用户信息、飞行日志等隐私信息)。大疆调查后发现,此事其实与一名前员工有关。据悉,这名员工毕业于某名牌大学,在大疆旗下的一家子公司担任软件工程师。负责编写农用无人机管理平台和农机喷洒系统代码。他曾在GitHub网站上开设账户,建立了一个“公共仓库”。后通过电脑指令,将公司农用无人机管理平台和农机喷洒系统代码上传至GitHub网站“公共仓库”,导致源代码泄露。KevinFinisterr公开了被泄露员工的电子邮件【图片来源:南方都市报】经鉴定,泄露的代码已用于大疆农用无人机产品,属于商业机密。目前,该员工已投案自首。此次泄密给大疆造成经济损失116.4万元。近日,法院作出一审判决,以侵犯商业秘密罪判处一名原大疆员工有期徒刑六个月,并处罚金人民币20万元。员工有意无意泄露公司源代码的事件太多了。4月22日,B站网站后台项目源代码被恶意泄露,被名为“openbilibili”的用户放到开源项目平台Github上。内容包括项目说明和负责人信息两部分,后者还包括详细业务、具体负责人等信息。在上线不到6小时的时间里,repo获得了5000+Stars和6000+Forks。当天17点30分左右,Github彻底删除了仓库。随后,B站发表声明称,部分泄露代码属于较早的历史版本,已采取主动防御措施。多项爆料将此次泄密事件指向内部员工的蓄意报复,但与源代码不知道被复制了多少份的隐患相比,这些都不是很重要。毕竟,如果有人想通过后台代码非法访问B站,根本不需要进行逆向工程来猜测其运行原理和漏洞位置,很多漏洞都是直接从源代码中就能找到的。此前,今年2月,某云代码托管平台项目权限设置不明确,导致开发者操作失误,导致至少40家企业200多个项目代码泄露。举报人称,造成这种情况的原因可能是这些公司的程序员在构建项目数据库时没有正确操作,将项目权限设置为“平台公开”。因为当时某云代码托管业务还是全英文平台,很多公司在创建项目时可能会误选“internal”,即“platformopen”。随后,某云在其新浪微博上发布了关于内部访问权限的声明,称已加强对内部权限的中文注释,并发出全站通知提醒。[图片来源:PencilRoad]此前,2018年2月,名为“ZioShiba”的用户在开源代码托管平台GitHub上泄露了苹果专有的iBoot源代码。按照苹果的说法,泄露的是两年前的iOS9源代码,距离现在还很远,不会引发大规模的安全事件。但它仍然可以被相关的iOS安全研究人员和越狱爱好者利用,以发现iPhone锁定系统中的其他新漏洞。源代码的泄露也与员工有关。据说,一名员工在苹果工作时,在几位越狱爱好者朋友的“怂恿”下,拿到了iBoot源代码和其他一些未公开的代码,并分享给了一个五人小群。该员工表达了求生欲,只是想拿到相关安全研究的源代码,对苹果公司没有任何不满。源代码是互联网公司的核心竞争力。一个企业能否在同行中脱颖而出,拥有核心竞争力,源代码的保护起着决定性的作用。知乎上有很多关于如何防止源码泄露的问题,下面网友的回答也各有特点:知乎网友张子,大多数软件公司都是靠程序员的自尊心,泄露出去真的很尴尬……知乎网友罗微子:能接触到我们公司代码的人都同意,泄露出去无所谓。不说混乱,理解的努力远大于重新创建一套新代码的努力。知乎网友cnsinda:目前我知道的源码加密方式有两种:一种是物理“源码加密”,另一种是软件源码加密。物理“源代码加密”是指切断外部网络、封堵U口或锁住机箱,让开发者处于封闭状态。这种方法可以达到效果,但缺点是如果U口被堵住,会对员工的工作和使用造成很大的影响,大大降低工作效率,给员工开发也很不方便并查资料。一台电脑,公司的成本会大大增加。这样的操作方式也会在员工中引起不小的抵触情绪。基于软件的源代码加密是指通过软件对源代码进行保护。目前市场上流行的源代码加密软件机制是一种在不修改任何硬件的情况下,对开发者的运行环境进行加密的软件。开发者的源代码只能存放在公司内部,没有加密空间。.如果要取出证件,需要办理审批手续。知乎匿名网友:只要写得不好,泄露了就不能被别人使用。一般来说,源代码泄露应该在企业层面通过各种手段进行防御。作为一名个体员工,不要如此不知所措。文章参考:南方都市报《泄露公司源代码造成超百万损失,大疆前员工被罚20万、获刑半年》雷风网(公众号:雷风网)《阿里云代码托管平台上多家企业误开放访问权限,谁的锅?》知乎本文转载自雷风网。如需转载,请到雷锋网官网申请授权。
