不到一个月前,推特通过发送版权侵权通知删除涉案存储库,间接承认其部分源代码已在代码共享平台 GitHub 上泄露。后者现在无法访问,但据媒体报道,公众可以访问几个月。名为 FreeSpeechEnthousiast 的用户在几个月内提交了属于社交媒体平台的数千份文件。
虽然没有具体证据支持这一假设,但泄漏的时间和肇事者使用的具有讽刺意味的用户名表明,泄漏是蓄意的行为,旨在对公司造成伤害。
虽然现在衡量这次泄密事件对 Twitter 健康状况的影响还为时过早,但这次事件应该是所有软件供应商提出一个简单问题的机会:如果这件事发生在我们身上怎么办?
随着数据泄露和泄露的频率和影响不断上升,保护软件行业的敏感信息变得越来越重要。随着对软件的日益依赖,以数字形式存储的敏感信息量不断增加。
大约一年前,Lapsus$ 黑客团伙因公开泄露一些科技界知名人士的源代码而成为头条新闻。该小组的战利品包括来自三星的近 200GB 源代码、Nvidia 的 DLSS 技术的源代码以及来自微软的 250 个内部项目。其他几家软件公司也成为攻击目标,它们的代码库落入了坏人之手:LastPass、Dropbox、Okta 和 Slack 都披露了它们的部分代码已被泄露。
敏感信息的宝库
源代码包含大量敏感信息,其中大部分时间包括密码、API 密钥和证书私钥等硬编码秘密。此信息通常以纯文本形式存储在源代码中,使其成为攻击者的诱人目标。
泄露的私人源代码有许多潜在风险,但泄露的秘密可能是最令人担忧的:在 2023年秘密蔓延(对 GitHub 公共活动的最大单一分析)中,GitGuardian 报告仅在 2022 年就有 1000 万个新泄露的秘密,惊人的数字,同比增长 67%。这种现象在很大程度上可以解释为,当使用像 Git 这样的版本控制时,很容易错误地发布埋藏在提交历史中的硬编码秘密。但恶意意图也可能是机密信息泄露的原因。
当发生源代码泄漏时,这些秘密可能会暴露,从而为攻击者提供对系统和数据的访问权限。代码中的秘密是一个特别重要的问题。它们允许攻击者快速移动以利用多个系统,使组织更难以遏制损害。不幸的是,内部源代码是一种非常容易泄露的资产。全公司的开发人员都可以广泛访问它,备份到不同的服务器上,甚至存储在开发人员的本地机器上。这就是为什么首先要确保没有秘密被泄露如此重要的原因之一。
除了恶意活动的风险,开发人员犯下的错误也会使公司面临风险。例如,由于 GitHub 构建其企业/组织产品的方式,可能会发生代码意外泄漏。这使得组织很难防止意外泄漏,相反,开发人员也很容易犯错误。
暴露的逻辑缺陷也是一个问题。软件应用程序处理源代码中可能存在的函数和数据的方式可能存在漏洞。当源代码暴露时,攻击者可以分析这些漏洞并利用它们获得未经授权的访问。应用程序架构也是如此。通常,组织希望隐藏其应用程序的体系结构,这个概念称为隐藏安全。当源代码被公开时,它可以引导攻击者找到应用程序工作方式的地图,让他们有机会找到隐藏的资产。
行动起来:保护您的源代码
这个问题并不新鲜,安全行业的许多人已经敲响了一段时间的警钟。然而,拜登政府最近为加强基础设施和中小企业的网络弹性而采取的举措增加了对软件供应商问责制的关注。随着网络安全成为国家优先事项,促进安全开发实践和塑造市场力量以优先保护敏感信息的压力将越来越大。
那么软件供应商可以做些什么来保护他们的源代码和敏感信息呢?首先,他们必须认识到潜在的风险并采取适当的措施来减轻这些风险。这包括实施安全措施以防止恶意活动,并确保硬编码的秘密不会以纯文本形式存储在源代码中。
然而,保护软件行业的敏感信息需要不止一种方法。结合使用机密管理解决方案、安全编码实践和自动机密检测可以提供全面的安全策略。
秘密检测涉及扫描源代码和其他数字资产以查找硬编码的秘密,提醒开发人员注意攻击者可能利用的潜在漏洞。通过这种主动方法,组织可以更好地保护他们的敏感信息,并在软件开发生命周期的早期识别潜在的安全风险。
将秘密检测解决方案与秘密管理和安全编码实践相结合,提供了一种分层的安全方法,可以帮助减轻与泄露的源代码和其他潜在漏洞相关的风险。
除了这些技术措施外,确保员工接受网络安全最佳实践方面的培训和教育也很重要。这包括定期培训和意识计划,以确保员工了解风险并知道如何保护敏感信息。
持续安全
总的来说,保护源代码和敏感信息是软件供应商面临的一个关键问题。随着恶意活动和意外泄漏的频率不断增加,供应商必须采取措施降低风险并保护客户的数据。通过实施安全编码实践、使用机密管理解决方案以及提供员工培训和意识计划,从长远来看,供应商可以帮助推动软件开发实践的持续改进。
重要的是要注意,保护源代码和敏感信息不是一次性事件。这是一个持续的过程,需要不断的关注和警惕。软件供应商必须持续监控他们的系统是否存在潜在漏洞,并确保他们的安全措施是最新的。
如果您有兴趣改进组织的机密管理实践,我们鼓励您使用我们的机密管理调查问卷(匿名)来评估您的具体情况。只需五分钟即可快速了解您组织的优势和劣势,并开始提高安全性。确保您的敏感信息受到保护,并维护客户的信任。
