最近,雷锋网编辑朋友圈被一则“泄露公司源代码造成超百万损失,大疆前员工被罚20万、获刑半年”的消息刷屏了。
事情是这样的,2017年9月初,大疆的漏洞举报邮箱收到一封来自安全研究员 Kevin Finisterr 的海外邮件,对方称在 GitHub 代码分享社区上,发现有包含大疆源代码等重要敏感信息的链接。攻击者可以通过其获取SSL证书的私钥,并访问存储在大疆服务器上的客户敏感信息(诸如用户信息、飞行日志等私密信息都能被下载)。
大疆调查后发现,这事居然和某位前员工有关。据悉,这位员工毕业于著名高校,在大疆的子公司担任软件工程师,曾负责编写农业无人机的管理平台和农机喷洒系统代码。
他曾在 GitHub 网站上开设了账号,并建立了“公有仓库”。之后,其通过一个计算机指令,将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub 网站的“公有仓库”,造成了源代码泄露。
Kevin Finisterr 在推特公布泄密员工的邮件
【图片来源:南方都市报】
经鉴定,这些泄露出去的代码已用于大疆农业无人机产品,属于商业秘密。目前该员工已自首,此次泄露事件给大疆造成经济损失116.4万元人民币。
法院于近日作出一审判决,以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金20万人民币。
公司源代码被员工有意无意泄露的事件太多了。
4月22日,B站的网站后台工程源码遭恶意泄露,被一个名为“openbilibili”的用户放到了开源项目平台Github上。内容包含了项目规范和负责人信息两部分,后者还涵盖了详细的业务、具体负责人等信息。在上线不到 6 小时的时间里,该repo斩获 5000+ Star,6000+Fork。
当天17:30 左右,Github 才彻底删除了该仓库。事后,B站发表声明称,泄露的部分代码属于较老的历史版本,并且已执行了主动防御措施。
多方爆料都将这起泄露事件指向内部员工蓄意报复,但这些与不知被拷贝了多少份的源码隐患相比也不甚重要了。毕竟,如果有人想通过后端代码攻击B站,无需再进行逆向工程猜测运作原理和漏洞位置,可以直接从源码中找到很多漏洞。
在此之前,今年2月,某云代码托管平台因项目权限设置存在歧义,导致开发者操作失误,造成至少 40 家以上企业的 200 多个项目代码泄露事件同样闹得沸沸扬扬。爆料者称,之所以出现这种情况,可能是因为这些公司的程序员在给项目建库时操作不当,将项目权限设置成“平台公开”。
因为当时的某云代码托管业务还是全英文平台,可能很多企业在创建项目的时候会误选择“internal”,也就是“平台公开”。
随后,某云在其新浪微博上发布了关于 Internal 访问权限的说明,称已增强了对 Internal 权限的中文注解,并发出全站通知提醒。
【图片来源:铅笔道】
更早些时候,2018年2月,一位名为 "ZioShiba" 的用户在开源代码托管平台 GitHub 上泄露了苹果公司专有的 iBoot 源代码。
根据苹果公司的声明,遭到泄露的是两年前 iOS 9 的源代码,与现在相隔甚远,不会导致大规模安全事件。但仍然可能被相关 iOS 安全研究人员和越狱爱好者加以利用,在 iPhone 锁定系统中发现其他新的漏洞。
这起源代码泄露事件也与员工逃不开关系,据说某员工在苹果工作时,在几位越狱爱好者朋友的 " 怂恿 " 下拿来了 iBoot 源代码以及其他一些尚未泄露的代码,并分享到了五人小群体中。这位员工很有求生欲地表示,自己只是想拿到源代码进行相关的安全研究,完全没有任何对苹果的不满。
源代码之于互联网公司是核心竞争力,企业能否在同行中展露头角,具备核心竞争力,源码的保护起到了决定性的作用。
知乎上有不少如何防止源码泄露的相关问题,底下网友们的回答各有特色:
知乎网友章孜,
大多数软件公司是依靠程序员的自尊心,泄露出去实在特么丢人啊……
知乎网友萝魏紫:
我司的代码,所有能接触到的人都一致认为,泄漏出去也没关系,自带混淆不说,搞懂的effort远大于再造一套新的代码的effort。
知乎网友cnsinda:
目前我所知道的对源代码加密的办法有两种:一种是物理性的“源代码加密”,一种是软件性的源代码加密。
物理性“源代码加密”就是指截断外网,封掉U口或者锁机箱,让开发者处于一种封闭的状态。这种方法是可以达到效果的,弊端就是如若封掉U口,对于员工的工作使用会造成很大的影响,大大降低了工作的效率,并且员工开发查资料很不方便,如若给每人配一台电脑,公司的成本将大大提高。这样的操作方式员工的抵触心里也会颇大。
软件性的源代码加密是指通过软件对源码进行保护。目前市面上最流行的源代码加密软件机制是一种对开发人员的操作环境进行加密的软件,不用对任何硬件做修改,开发人员的源代码只能存放在公司范围里,拿不出加密的空间。如果想要拿出文件的话则需走审批流程。
知乎匿名网友:
只要写得烂,泄露就没办法被别人用。
总体来说,源码泄露这事,从企业层面应该采用种种手段进行防御,作为员工个人,别那么想不开。
雷锋网文章参考:
南方都市报《泄露公司源代码造成超百万损失,大疆前员工被罚20万、获刑半年》
雷锋网(公众号:雷锋网)《阿里云代码托管平台上多家企业误开放访问权限,谁的锅?》
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/117286.html