就在几周前,每个安全分析师都在谈论一个名为Lapsus$的勒索软件组织:他们窃取并泄露了一些大型科技公司的源代码,其中包括三星的一家。近200GB的源代码和部分MicrosoftBing、BingMaps和Cortana项目。就在几个月前,流媒体平台Twitch也遭遇了同样的命运。在过去的几年中,我们目睹了企业数据库的在线泄露事件激增。虽然提到的所有泄漏都是恶意行为——黑客的动机是通过表明他已经侵入公司并有权访问数据来向公司施加压力——但我们不要忘记,错误确实比我们想象的更频繁地发生,并且悄悄地:当开发人员认为他们在私人环境中工作并且无意中推送到公共数据库就足够了。不幸的是,除了明显的声誉损害之外,源代码泄漏问题有时会被误解。因此,本文将总结源代码泄露带来的风险,但最重要的是,为您提供了解您的公司是否已成为受害者的方法。今天,我们邀请您使用专用的免费工具来评估您的GitHub足迹。源代码和知识产权在一个95%的IT部门都以某种方式依赖开源软件的世界中,人们很容易忘记源代码从编写第一行代码的那一刻起就被视为知识产权,并且受版权保护.事实上,包含说明版权所有者和权限的源代码文件是很常见的。本质上,源代码是一种易受攻击的资产。分布式版本控制系统和代码共享平台极大地促进了整个代码库在互联网上的扩展和应用。同时,这也带动了开源社区的发展,取得了很大的成就。但对于越来越多将源代码作为核心价值资产的公司来说,这仍然是一个问题。因此,确保源代码版权在全球范围内受到尊重已成为几乎不可能完成的任务。源代码还可能包含不受版权、专利或商标保护的商业秘密。在创新和速度至上的行业中,未能将这些信息保密对于一些初创公司来说可能会失败。对于较大的企业,更好地监视和控制共享源代码的哪些部分以及与谁共享的目标是避免法律费用。在另一个层面上,开源代码让黑客能够深入了解部署在生产环境中的工作负载,有时服务于数百万用户。这也可能是一个问题。源代码中具有潜在威胁的代码相当于实体产品的模型。对于精通技术的人来说,全面了解大型系统或软件的内部运作意味着他们可以轻松发现硬编码凭据等漏洞。例如,GitGuardian在扫描三星的代码时发现了6600多个密钥:“在三星源代码中发现的6600多个密钥中,大约90%用于三星的内部服务和基础设施,而另外10%重要的是,访问可以授予三星的外部服务或工具,如AWS、GitHub、Artifactory和谷歌,”GitGuardian的开发者倡导者MackenzieJackson说。这并不一定意味着黑客可以在泄漏后立即利用机密、访问控制缺陷和其他安全漏洞。然而,它仍然是他们工具箱中的另一项资产。对于攻击者而言,一些微弱信号甚至可能比业务逻辑本身更有价值,例如开发人员的个人身份信息(PII)、习惯、语言,以及更全球化的公司文化。几千行代码能透露出比我们想象的更多的信息。如何发现您的源代码是否泄露?如前所述,无论您的企业过去是否遭受过数据泄露,您的专有代码都可能在您不知情的情况下在GitHub上公开可用。即使您的企业在该平台上没有正式存在,您的开发人员也有可能参与开源项目或使用个人存储库共享代码。因此,贵公司在GitHub上的信息应引起重视。威胁情报应该回答以下问题:哪些资产可以暴露在互联网上?它们包括用户数据吗?它们是否提供了攻击者可以利用的关键和有效信息?是否仍然可以控制受损资产(例如,通过启动DMCA移除流程)?从技术上讲,识别源代码泄漏的唯一解决方案是对专有代码进行指纹识别并将其与公共文件数据库进行比较。这正是来自GitGuardian的免费工具HasMyCodeLeaked的目的,它可以帮助任何人快速识别与知识产权相关的最关键的匹配项。该工具的工作原理是在GitHub的公共历史记录中准确找到您的代码指纹(识别文件的校验和,包括所有修订)。它将为您生成包含源代码的所有存储库的可搜索报告,并通过智能过滤来识别高风险存储库。结论需要认真对待源代码泄漏问题。它们正在损害您的品牌声誉,并可能使您公司的核心资产面临风险。虽然DMCA删除请求可以确保从公共平台上删除受版权保护的内容,但商业秘密仍可能受到损害并危及您业务的创新。在安全方面,它们提供了攻击者最看重的东西:软件内部工作的完整画面,包括它的缺陷、过程和相关人员。随着代码共享平台GitHub的爆炸式增长,监控公司的公共足迹已成为威胁情报分析师最具挑战性的任务之一。这就是HasMyCodeLeaked的用武之地,这是一款旨在帮助您确定您的知识产权是否已泄露的免费工具。
