近日,英伟达证实遭遇黑客攻击,核心源代码惨遭泄露,40多万个文件,75GB机密数据被公开。那么企业和个人开发者如何保护源码安全不泄漏呢?
首先,我们看下代码的不安全有哪些因素导致?
第一种,编码中自引入风险漏洞,如2021年底Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),(参考阅读《云效提供Apache Log4j2漏洞紧急修复方案》)
第二种,代码数据丢失或泄漏,员工恶意或手误删除代码数据、非核心技术人访问权限不明导致核心数据泄露等,譬如删库跑路。
第三种,来自外部黑客攻击,如存在基础设施、组件漏洞导致的被攻击损失。如本次的英伟达遭遇了南美黑客组织“LAPSU$”。
之前云效就如何避免编码中引入风险漏洞详细阐述了,《Codeup代码智能安全检测服务》,那么就这种来自外部攻击的代码安全加密如何提前预防呢?
首先,我们来分析下这次英伟达证实遭遇黑客攻击,核心源代码惨遭泄露的最主要的原因:内网互通及代码数据明文存储。
内网互通
在建设IT环境的时候,受制于设备、环境复杂度等一些列原因,不少企业往往只维护了一个到几个少量的内网环境,依靠外部的防火墙抵御攻击。一旦防火墙被突破,黑客就能借助突破点作为跳板,进行内网探测,遍历内网的服务器资源。
代码数据明文存储
为什么要归因于代码明文存储呢?我们看到,在此次攻击,黑客组织在突破了英伟达的防火墙之后,长驱直入,通过内网探测直接扒走了大量的服务器数据,而代码数据正在此之列。
Git作为当今使用范围最广的版本控制系统,也如同SVN等其他版本控制系统一样,本身并不具备数据加密的能力。也就是说,只要可以接触到存储代码资产的服务器,就能盗走其上的代码资产数据。
其次,如何避免这种情况,企业可以尝试设置网络隔离和数据加密技术:
设置网络隔离
通过建设多个可靠的内部网络,仅允许通过特定的端口及方式进行服务访问。这就好比一个房子里面,每个房间都设置了独立的锁,即使一个房间被攻破,也很难快速进入其他加锁的房间进行大规模的破坏。
使用数据加密技术
数据加密技术,则是保障数据资产安全性最直接的手段,通过加密数据资产,保障资产的安全性。
数据加密主要有三种解决方案:
- 客户端加密
- 磁盘加密
- 静态加密
对于上述的三种解决方案,在云效此前的《代码安全无忧—云效Codeup代码加密技术发展之路》一文中进行了详细的描述。云端加密代码库是云效团队的自研产品特性,是目前国内首个支持代码加密的代码托管服务,也是目前世界范围内首个使用实时加密方案的代码托管服务。
在此次发生的案例当中,云效的代码加密技术可以对代码仓库起到有效的保护作用。对于像英伟达这样的科技企业来讲,代码资产是企业最重要的核心资产,安全问题没有后悔药,能做的只有持续的识别和防范。
通过在云端对托管在云效Codeup 的代码库进行静态加密,可以有效避免数据拥有者之外的人接触到用户的明文数据,避免数据在云端发生泄露。同时,代码加密过程对用户完全透明,用户可以使用任意官方Git端(包括但不限于Git、JGit、libgit2等)来访问Codeup上的代码仓库。
最后欢迎大家试用云效Codeup,如果你想了解更多关于代码加密的技术内容,可以阅读《代码仓库加密是如何实现的?》。
参考阅读:
Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南
关于我们
了解更多关于阿里云云效DevOps的最新动态,可微信搜索并关注【云效】公众号;
福利:公众号后台回复【安全】免费下载云效产品安全白皮书!
回复【指南】,可获得《阿里巴巴DevOps实践指南》&《10倍研发效能提升案例集》;
看完觉得对您有所帮助别忘记点赞、收藏和关注呦;
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。