头图

如何避免黑客攻击?国内首个云端加密代码库来帮忙

近日,英伟达证实遭遇黑客攻击,核心源代码惨遭泄露,40多万个文件,75GB机密数据被公开。那么企业和个人开发者如何保护源码安全不泄漏呢?

首先,我们看下代码的不安全有哪些因素导致?

第一种,编码中自引入风险漏洞,如2021年底Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),(参考阅读《云效提供Apache Log4j2漏洞紧急修复方案》)​

第二种,代码数据丢失或泄漏,员工恶意或手误删除代码数据、非核心技术人访问权限不明导致核心数据泄露等,譬如删库跑路。

第三种,来自外部黑客攻击,如存在基础设施、组件漏洞导致的被攻击损失。如本次的英伟达遭遇了南美黑客组织“LAPSU$”。

之前云效就如何避免编码中引入风险漏洞详细阐述了,《Codeup代码智能安全检测服务》,那么就这种来自外部攻击的代码安全加密如何提前预防呢?

首先,我们来分析下这次英伟达证实遭遇黑客攻击,核心源代码惨遭泄露的最主要的原因:内网互通代码数据明文存储。

内网互通

在建设IT环境的时候,受制于设备、环境复杂度等一些列原因,不少企业往往只维护了一个到几个少量的内网环境,依靠外部的防火墙抵御攻击。一旦防火墙被突破,黑客就能借助突破点作为跳板,进行内网探测,遍历内网的服务器资源。

代码数据明文存储

为什么要归因于代码明文存储呢?我们看到,在此次攻击,黑客组织在突破了英伟达的防火墙之后,长驱直入,通过内网探测直接扒走了大量的服务器数据,而代码数据正在此之列。

Git作为当今使用范围最广的版本控制系统,也如同SVN等其他版本控制系统一样,本身并不具备数据加密的能力。也就是说,只要可以接触到存储代码资产的服务器,就能盗走其上的代码资产数据。

其次,如何避免这种情况,企业可以尝试设置网络隔离数据加密技术

设置网络隔离

通过建设多个可靠的内部网络,仅允许通过特定的端口及方式进行服务访问。这就好比一个房子里面,每个房间都设置了独立的锁,即使一个房间被攻破,也很难快速进入其他加锁的房间进行大规模的破坏。

使用数据加密技术

数据加密技术,则是保障数据资产安全性最直接的手段,通过加密数据资产,保障资产的安全性。

数据加密主要有三种解决方案:

  1. 客户端加密
  2. 磁盘加密
  3. 静态加密

对于上述的三种解决方案,在云效此前的《代码安全无忧—云效Codeup代码加密技术发展之路》一文中进行了详细的描述。云端加密代码库是云效团队的自研产品特性,是目前国内首个支持代码加密的代码托管服务,也是目前世界范围内首个使用实时加密方案的代码托管服务。

在此次发生的案例当中,云效的代码加密技术可以对代码仓库起到有效的保护作用。对于像英伟达这样的科技企业来讲,代码资产是企业最重要的核心资产,安全问题没有后悔药,能做的只有持续的识别和防范。

通过在云端对托管在云效Codeup 的代码库进行静态加密,可以有效避免数据拥有者之外的人接触到用户的明文数据,避免数据在云端发生泄露。同时,代码加密过程对用户完全透明,用户可以使用任意官方Git端(包括但不限于Git、JGit、libgit2等)来访问Codeup上的代码仓库。

最后欢迎大家试用云效Codeup,如果你想了解更多关于代码加密的技术内容,可以阅读《代码仓库加密是如何实现的?》

参考阅读:

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

云效安全哪些事儿-Codeup代码智能安全检测服务

安全那些事儿-数据回收站 & 代码备份

揭秘!业界创新的代码仓库加密技术

关于我们

了解更多关于阿里云云效DevOps的最新动态,可微信搜索并关注【云效】公众号;

福利:公众号后台回复【安全】免费下载云效产品安全白皮书!

回复【指南】,可获得《阿里巴巴DevOps实践指南》&《10倍研发效能提升案例集》;

看完觉得对您有所帮助别忘记点赞、收藏和关注呦;

lQLPDhshq7rXr9DNBDjNB4Cw6h-soueBRw4CB9bnfwCoAA_1920_1080.png

阿里云云效,[链接]体验云原生时代新DevOps平台,支持公共云、专有云和混合云多种部署形态,通过云原生...

35 声望
19 粉丝
0 条评论
推荐阅读
IDC:云效产品能力No.1,领跑中国DevOps市场
近日,全球领先的专业市场调查机构国际数据公司(IDC)发布了《IDC MarketScape:中国 DevOps 平台市场厂商评估,2022》报告。此报告中对中国主流 DevOps 云厂商从战略(Strategies)、能力(Capabilities)两个...

云效DevOps平台阅读 366

「技术人生」第10篇:如何做研发效能提升(即指标体系建设过程回顾)
纵观软件研发的发展历程,如果说“业务需求开发”是核心主线的话,那么研发效能建设就是这一核心主线之外最大的一条支线。每个历史阶段的研发效能所面对的主要矛盾次要矛盾都不一样,因此大家可以看到,在不同的历...

阿里巴巴中间件1阅读 662

关于 Serverless 应用架构对企业价值的一些思考
对于企业方而言,最关心的核心诉求就是如何能获取更多的营收,更高的利润,通俗点说就是如何赚更多的钱;企业赚钱的方式主要是通过出售企业服务,当用户购买更多的企业服务,企业赚的钱就越多;而出售企业服务所...

阿里云云原生1阅读 505

vue项目部署到阿里云服务器(windows - Nginx代理)
项目构成:前端:vue+vant-ui,数据库:mysql,后端:node.js部署方式:nginx代理一,首先要拥有自己的服务器,阿里,腾讯都可以,我用的是阿里的购买方式省略...购买完成后,会跳到实例界面,也就是你的服务器实...

墨城2阅读 339

阿里云 ACK One 多集群管理再升级:GitOps 多集群持续集成,统一报警管理
ACK One 是阿里云面向混合云、多集群、分布式计算等场景推出的分布式云容器平台,能够统一管理阿里云上、边缘、部署在客户数据中心以及其他云上的 Kubernetes 集群,并简化集群管理界面。

阿里云云原生1阅读 547

爱奇艺:基于龙蜥与 Koordinator 在离线混部的实践解析 | 龙蜥技术
与众多互联网公司一样,爱奇艺常见的负载类型包括业务应用、数据库&中间件以及离线任务。其中业务应用包括有状态应用和无状态应用,无状态应用可以借助运维平台在业务团队和运维团队之间做比较清晰的职责划分,适...

阿里云云原生1阅读 547

Best Wishes「兔」You!
 福兔迎春,好运将至新岁启封,万象更新2023癸卯兔年祝您肆意向前与更多奇妙际遇相伴前「兔」无量、大展鸿「兔」! 

阿里云视频云阅读 1.1k

阿里云云效,[链接]体验云原生时代新DevOps平台,支持公共云、专有云和混合云多种部署形态,通过云原生...

35 声望
19 粉丝
宣传栏