ope体育

使用错误的Devops 工具暴露了程式码
来源:    发布时间: 2020-08-13 21:27   32 次浏览   大小:  16px  14px  12px
对上述事件,不少安全专家表示,「失去对来源码的控制,就像把银行设计图交给银行抢犯」。Kottmann 已应部分企业要求移除程式码。如戴姆勒(Daimler AG),联想档案夹也空空如也。对要求移除程式码的公司,Kottmann 表示愿意遵守,并乐意提供资讯
ope体育竞猜下载
      对上述事件,不少安全专家表示,「失去对来源码的控制,就像把银行设计图交给银行抢犯」。Kottmann 已应部分企业要求移除程式码。如戴姆勒(Daimler AG),联想档案夹也空空如也。对要求移除程式码的公司,Kottmann 表示愿意遵守,并乐意提供资讯,「帮助公司增强基础架构安全性」。而关于原始码泄露的原因,开发团队也还在找。Kottmann 称,他们尝试发表硬编码凭证前从公司原始码移除这些硬编码凭证,这些凭证通常用于建立后门程式,以免发生更大的安全漏洞。回顾在Kottmann 的GitLab 伺服器泄漏的程式码,可发现某些项目由原始开发人员公开发表,或是很久以前的最后更新档。
ope体育竞猜开户
      不过开发人员表示,有更多公司使用错误的Devops 工具配置暴露原始码的公司。此外,他们正在探索执行SonarQube 的伺服器,SonarQube 是开源平台,用于自动程式码审核和静态分析,以发现错误和安全漏洞。Kottmann 认为,有成千上万家公司由于未能正确保护SonarQube 安装而暴露专有程式码。不过,网路安全公司ImmuniWeb 创始人兼首席执行长Ilia Kolochenko 指出,「从技术角度来看,这次泄露不算很严重……若没有每天支援改进,原始码也会迅速贬值」。尽管如此,这大规模泄露事件还是值得注意。