近年來,代碼泄露之風,甚囂塵上。
據BleepingComputer報道,美國網絡安全公司Rapid7披露遭遇了Codecov供應鏈攻擊,部分源代碼存儲庫在網絡攻擊事件中泄漏。
《糖豆人:終極淘汰賽》在最近的一次更新中將源代碼文件也發(fā)了出來……
近期,字節(jié)跳動因為多款軟件涉及代碼抄襲被美攝科技正式起訴,要求賠償人民幣高達22.74億元。再一次把代碼泄露推上風口浪尖。
代碼泄露,頻頻發(fā)生、防不勝防……
那么,代碼泄露為什么會如此高頻地發(fā)生?
業(yè)內周知,在信息安全體系中,最薄弱環(huán)節(jié)是終端安全防護。目前,終端安全防護的技術手段極為有限,終端存在諸多安全隱患,其中最大的問題是終端普遍存在數據泄露風險。
據資料顯示,近些年來,在所有的的泄密事件中,大部分是“內部泄密”,而不是“外部竊密”。據統計,80%以上的信息泄露事件是由內部員工數據泄露導致的。
代碼泄漏其實是伴隨計算機編程出現的問題,目前整個行業(yè)基本大都是通過GIT或SVN等進行代碼管理,而項目組的每個開發(fā)人員都能夠下載全部代碼,這就給整個項目代碼泄漏造成很大隱患。
一旦代碼泄漏就很容易復制出一個相同的程序,或通過閱讀源代碼找到程序的漏洞進行任意攻擊。代碼泄露給公司帶來的損失是很大的,不但會帶來經濟損失,還會帶來名譽損失,甚至引起法律糾紛。
所以,對于科技團隊而言,防止源代碼外泄至關重要。目前,市面上傳統的做法有三:
第一,設備防止。比如說可以采用虛擬桌面,讓代碼只能存儲在服務器端。比如說禁止外設(USB,串口)訪問工作電腦。比如說禁止帶手機,相機等拍照工具進入研發(fā)室。比如說禁止工作電腦連接互聯網,限制性連接內網;
第二,法律保障。和員工簽訂競業(yè)協業(yè),保密協議。重罰并追求泄密員工或前員工的法律責任,并且當作案例宣傳,教育員工;
第三,人心保證。通過薪資待遇,言談教育來指引,員工才不會泄密,更是主動在保密上做好功夫。
可以看到,傳統的解決方案都圍繞著“人”,沒有從根本上解決問題,治標不治本。業(yè)內人士分析認為,如果有一個有效的工具能將代碼管理制度自動落實到位,而不是依靠對“人”的制約,這一痛點方能真正解決。
而近期國內發(fā)布的一款軟件工程平臺,則可從根本上解決這一全球性的行業(yè)難題。新一代java開發(fā)工具——飛算SoFlu全自動軟件工程平臺,率先提出軟件工程行業(yè)的作業(yè)方式從“人治”變成“法治”,以解決軟件工程全生命周期的問題。在防止代碼泄露方面,其通過“無代碼的微服務開發(fā)、靈活且細粒度項目權限管理、日志審計功能”給出解決方案:
無代碼的微服務開發(fā)方面,微服務的業(yè)務邏輯全面可視化開發(fā),開發(fā)人員不需要編寫源代碼,自然沒有代碼泄漏的風險。
靈活且細粒度項目權限管理方面,團隊協作中,不同的項目成員角色被賦予不同的訪問權限,精細化管控項目模塊的權限,實施最小化權限管理。
日志審計功能方面,平臺上所有的操作都有操作日志記錄,對于可能的越權訪問能及時發(fā)現,并能夠追溯。
對于飛算SoFlu全自動軟件工程平臺,中國工程院院士倪光南評價道: “針對軟件行業(yè)的痛點,非常高興地看到飛算全自動軟件工程平臺提出了很好的解決方案,希望你們能夠在實踐中不斷發(fā)展,為解決軟件工程的這些痛點作出貢獻,如果能通過實踐的驗證,那么對于軟件行業(yè)的發(fā)展將很有意義。”
