如何避免黑客攻击？国内首个云端加密代码库来帮忙

近日，英伟达证实遭遇黑客攻击，核心源代码惨遭泄露，40多万个文件，75GB机密数据被公开。那么企业和个人开发者如何保护源码安全不泄漏呢？

第一种，编码中自引入风险漏洞，如2021年底Apache Log4j2远程代码执行漏洞（CNVD-2021-95914），(参考阅读《云效提供Apache Log4j2漏洞紧急修复方案》)

第二种，代码数据丢失或泄漏，员工恶意或手误删除代码数据、非核心技术人访问权限不明导致核心数据泄露等，譬如删库跑路。

第三种，来自外部黑客攻击，如存在基础设施、组件漏洞导致的被攻击损失。如本次的英伟达遭遇了南美黑客组织“LAPSU$”。

之前云效就如何避免编码中引入风险漏洞详细阐述了，《Codeup代码智能安全检测服务》，那么就这种来自外部攻击的代码安全加密如何提前预防呢？

首先，我们来分析下这次英伟达证实遭遇黑客攻击，核心源代码惨遭泄露的最主要的原因：内网互通及代码数据明文存储。

内网互通

在建设IT环境的时候，受制于设备、环境复杂度等一些列原因，不少企业往往只维护了一个到几个少量的内网环境，依靠外部的防火墙抵御攻击。一旦防火墙被突破，黑客就能借助突破点作为跳板，进行内网探测，遍历内网的服务器资源。

代码数据明文存储

为什么要归因于代码明文存储呢？我们看到，在此次攻击，黑客组织在突破了英伟达的防火墙之后，长驱直入，通过内网探测直接扒走了大量的服务器数据，而代码数据正在此之列。

Git作为当今使用范围最广的版本控制系统，也如同SVN等其他版本控制系统一样，本身并不具备数据加密的能力。也就是说，只要可以接触到存储代码资产的服务器，就能盗走其上的代码资产数据。

其次，如何避免这种情况，企业可以尝试设置网络隔离和数据加密技术：

设置网络隔离

通过建设多个可靠的内部网络，仅允许通过特定的端口及方式进行服务访问。这就好比一个房子里面，每个房间都设置了独立的锁，即使一个房间被攻破，也很难快速进入其他加锁的房间进行大规模的破坏。

使用数据加密技术

数据加密技术，则是保障数据资产安全性最直接的手段，通过加密数据资产，保障资产的安全性。

数据加密主要有三种解决方案：

对于上述的三种解决方案，在云效此前的《代码安全无忧—云效Codeup代码加密技术发展之路》一文中进行了详细的描述。云端加密代码库是云效团队的自研产品特性，是目前国内首个支持代码加密的代码托管服务，也是目前世界范围内首个使用实时加密方案的代码托管服务。

在此次发生的案例当中，云效的代码加密技术可以对代码仓库起到有效的保护作用。对于像英伟达这样的科技企业来讲，代码资产是企业最重要的核心资产，安全问题没有后悔药，能做的只有持续的识别和防范。

通过在云端对托管在云效Codeup 的代码库进行静态加密，可以有效避免数据拥有者之外的人接触到用户的明文数据，避免数据在云端发生泄露。同时，代码加密过程对用户完全透明，用户可以使用任意官方Git端（包括但不限于Git、JGit、libgit2等）来访问Codeup上的代码仓库。

最后欢迎大家试用云效Codeup，如果你想了解更多关于代码加密的技术内容，可以阅读《代码仓库加密是如何实现的？》。

参考阅读：

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

关于我们

了解更多关于阿里云云效DevOps的最新动态，可微信搜索并关注【云效】公众号；

福利：公众号后台回复【安全】免费下载云效产品安全白皮书！

回复【指南】，可获得《阿里巴巴DevOps实践指南》&《10倍研发效能提升案例集》；

看完觉得对您有所帮助别忘记点赞、收藏和关注呦；

lQLPDhshq7rXr9DNBDjNB4Cw6h-soueBRw4CB9bnfwCoAA_1920_1080.png