首页 科技互联网正文

华为海思、微软、高通等50多家公司被曝源代码泄露,或因为DevOps不安全

admin 科技互联网 2020-07-31 02:09:19 1 0

原标题:华为海思、微软、高通等50多家公司被曝源代码泄露,或因为DevOps不安全

据美国科技媒体 BleepingComputer 报道,由于不安全的 DevOps 应用程序,导致微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等 50 家科技公司的源代码都遭到泄露,并被发布在 GitLab 上一个公开存储库中。

一位名为蒂莉 · 科特曼(Tillie Kottmann)的开发人员收集到了上述泄露,这些泄漏来源广泛。在 GitLab 上的公共存储库中,可以找到大量此类泄漏,这些泄漏的标签多为 “机密”“机密和专有” 等。

科特曼表示,他在一个很容易访问的代码存储库中,找到了硬编码的凭据,他正在努力将其删除,以免造成更大的破坏。科特曼还表示,其将遵守移除要求、并乐意提供可增强公司基础架构安全性的信息。

另据专注于银行业威胁和欺诈的研究机构 Bank Security 称,存储库中发布了来自 50 多家公司的代码。

图 | Bank Security 提供的信息(来源:BleepingComputer)

目前,许多当事公司可能并不了解泄漏情况。一些已经注意到其源码泄露的企业,并不会费心将其删除。比如,其中一家公司的几名开发人员,只是想知道科特曼是如何获得代码的,并没有对他提出删除代码的要求。

图 | 泄露的源码(来源:BleepingComputer)

就本次泄露来说,主要是因为许多公司使用错误的 DevOps 工具去配置代码。目前,已有相关人士正在探索运行 SonarQube 服务器,SonarQube 是一个开放源代码平台,可用于自动代码审核和静态分析,以发现错误和安全漏洞。

有人担心泄漏的代码,会被用于邪恶的目的。一位安全专家告诉外媒 Tom's Guide,失去对互联网源代码的控制,就像是将银行的蓝图交给抢劫犯一样。这份清单将被网络犯罪分子广泛地查看,以在极短的时间内寻找漏洞以及机密信息。因此,他建议,那些受影响的网站需要立马采取进一步的保护措施,以避免遭受到恶意攻击。

但是,似乎并非所有站点都已经意识到事情的严重性,如果进一步的恶果被用户先于公司发现,那这无异是伤口撒盐。

但也有专家持有不同意见。来自瑞士的网络安全公司 ImmuniWeb 创始人兼 CEO 伊利亚 · 科洛琴科(Ilia Kolochenko)表示:“从技术角度来看,这些泄漏并不是那么严重。他认为,除非拥有其他技术,否则大多数源代码都是毫无价值的。而且,没有持续的改进,源代码会迅速贬值。因此,不道德的竞争者除非寻求非常具体的软件,否则将不太可能获得太多价值。

参考:

https://siliconangle.com/2020/07/27/source-code-dozens-companies-including-nintendo-microsoft-adobe-published-online/

https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/返回,科技大学

评论