不到一个月前,推特通过发送版权侵权通知删除涉案存储库,间接承认其部分源代码已在代码共享平台 GitHub 上泄露。后者现在无法访问,但据媒体报道,公众可以访问几个月。名为 Free Speech Enthousiast 的用户在几个月内提交了属于社交媒体平台的数千份文件。
虽然没有具体证据支持这一假设,但泄漏的时间和肇事者使用的具有讽刺意味的用户名表明,泄漏是蓄意的行为,旨在对公司造成伤害。
虽然现在衡量这次泄密事件对 Twitter 健康状况的影响还为时过早,但这次事件应该是所有软件供应商提出一个简单问题的机会:如果这件事发生在我们身上怎么办?
随着数据泄露和泄露的频率和影响不断上升,保护软件行业的敏感信息变得越来越重要。随着对软件的日益依赖,以数字形式存储的敏感信息量不断增加。
大约一年前,Lapsus$ 黑客团伙因公开泄露一些科技界知名人士的源代码而成为头条新闻。该小组的战利品包括来自三星的近 200GB 源代码、Nvidia 的 DLSS 技术的源代码以及来自微软的 250 个内部项目。其他几家软件公司也成为攻击目标,它们的代码库落入了坏人之手:LastPass、Dropbox、Okta 和 Slack 都披露了它们的部分代码已被泄露。
![源代码泄漏是新的威胁软件供应商应该关心的吗?]( "源代码泄漏是新的威胁软件供应商应该关心的吗?")
敏感信息的宝库#
源代码包含大量敏感信息,其中大部分时间包括密码、API 密钥和证书私钥等硬编码秘密。此信息通常以纯文本形式存储在源代码中,使其成为攻击者的诱人目标。
泄露的私人源代码有许多潜在风险,但泄露的秘密可能是最令人担忧的:在 2023年秘密蔓延(对 GitHub 公共活动的最大单一分析)中,GitGuardian 报告仅在 2022 年就有 1000 万个新泄露的秘密,惊人的数字,同比增长 67%。这种现象在很大程度上可以解释为,当使用像 Git 这样的版本控制时,很容易错误地发布埋藏在提交历史中的硬编码秘密。但恶意意图也可能是机密信息泄露的原因。
当发生源代码泄漏时,这些秘密可能会暴露,从而为攻击者提供对系统和数据的访问权限。代码中的秘密是一个特别重要的问题。它们允许攻击者快速移动以利用多个系统,使组织更难以遏制损害。不幸的是,内部源代码是一种非常容易泄露的资产。全公司的开发人员都可以广泛访问它,备份到不同的服务器上,甚至存储在开发人员的本地机器上。这就是为什么首先要确保没有秘密被泄露如此重要的原因之一。
除了恶意活动的风险,开发人员犯下的错误也会使公司面临风险。例如,由于 GitHub 构建其企业/组织产品的方式,可能会发生代码意外泄漏。这使得组织很难防止意外泄漏,相反,开发人员也很容易犯错误。
暴露的逻辑缺陷也是一个问题。软件应用程序处理源代码中可能存在的函数和数据的方式可能存在漏洞。当源代码暴露时,攻击者可以分析这些漏洞并利用它们获得未经授权的访问。应用程序架构也是如此。通常,组织希望隐藏其应用程序的体系结构,这个概念称为隐藏安全。当源代码被公开时,它可以引导攻击者找到应用程序工作方式的地图,让他们有机会找到隐藏的资产。
![源代码泄漏是新的威胁软件供应商应该关心的吗?]( "源代码泄漏是新的威胁软件供应商应该关心的吗?")
行动起来:保护您的源代码#
这个问题并不新鲜,安全行业的许多人已经敲响了一段时间的警钟。然而,拜登政府最近为加强基础设施和中小企业的网络弹性而采取的举措增加了对软件供应商问责制的关注。随着网络安全成为国家优先事项,促进安全开发实践和塑造市场力量以优先保护敏感信息的压力将越来越大。
那么软件供应商可以做些什么来保护他们的源代码和敏感信息呢?首先,他们必须认识到潜在的风险并采取适当的措施来减轻这些风险。这包括实施安全措施以防止恶意活动,并确保硬编码的秘密不会以纯文本形式存储在源代码中。
然而,保护软件行业的敏感信息需要不止一种方法。结合使用机密管理解决方案、安全编码实践和自动机密检测可以提供全面的安全策略。
秘密检测涉及扫描源代码和其他数字资产以查找硬编码的秘密,提醒开发人员注意攻击者可能利用的潜在漏洞。通过这种主动方法,组织可以更好地保护他们的敏感信息,并在软件开发生命周期的早期识别潜在的安全风险。
将秘密检测解决方案与秘密管理和安全编码实践相结合,提供了一种分层安全方法,可以帮助减轻与泄露的源代码和其他潜在漏洞相关的风险。
除了这些技术措施外,确保员工接受网络安全最佳实践方面的培训和教育也很重要。这包括定期培训和意识计划,以确保员工了解风险并知道如何保护敏感信息。
![源代码泄漏是新的威胁软件供应商应该关心的吗?]( "源代码泄漏是新的威胁软件供应商应该关心的吗?")
持续安全#
总的来说,保护源代码和敏感信息是软件供应商面临的一个关键问题。随着恶意活动和意外泄漏的频率不断增加,供应商必须采取措施降低风险并保护客户的数据。通过实施安全编码实践、使用机密管理解决方案以及提供员工培训和意识计划,从长远来看,供应商可以帮助推动软件开发实践的持续改进。
重要的是要注意,保护源代码和敏感信息不是一次性事件。这是一个持续的过程,需要不断的关注和警惕。软件供应商必须持续监控他们的系统是否存在潜在漏洞,并确保他们的安全措施是最新的。
编译自:黑客新闻
开启等级保护之路:GB 17859网络安全等级保护上位标准
回看等级保护:重要政策规范性文件43号文(上)
网络安全等级保护实施指南培训PPT
网络安全等级保护安全物理环境测评培训PPT
网络安全等级保护:等级保护测评过程要求PPT
网络安全等级保护:安全管理中心测评PPT
网络安全等级保护:安全管理制度测评PPT
网络安全等级保护:定级指南与定级工作PPT
网络安全等级保护:云计算安全扩展测评PPT
网络安全等级保护:工业控制安全扩展测评PPT
网络安全等级保护:移动互联安全扩展测评PPT
网络安全等级保护:第三级网络安全设计技术要求整理汇总
网络安全等级保护:等级测评中的渗透测试应该如何做
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:什么是等级保护?
网络安全等级保护:信息技术服务过程一般要求
网络安全等级保护:浅谈物理位置选择测评项
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
信息安全服务与信息系统生命周期的对应关系
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)
工业控制系统安全:DCS风险与脆弱性检测要求思维导图
数据治理和数据安全
数据安全风险评估清单
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
金融数据安全:数据安全分级指南思维导图
金融数据安全:数据生命周期安全规范思维导图
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
供应链安全指南:建立基础,持续改进。
思维导图:ICT供应链安全风险管理指南思维导图
英国的供应链网络安全评估
网络安全十大安全漏洞
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
网络安全等级保护:应急响应计划规范思维导图
安全从组织内部人员开始
VMware 发布9.8分高危漏洞补丁
影响2022 年网络安全的五个故事
2023年的4大网络风险以及如何应对
网络安全知识:物流业的网络安全
网络安全知识:什么是AAA(认证、授权和记账)?
美国白宫发布国家网络安全战略
开源代码带来的 10 大安全和运营风险
不能放松警惕的勒索软件攻击
10种防网络钓鱼攻击的方法
Mozilla通过发布Firefox 111修补高危漏洞
Meta 开发新的杀伤链理论
最佳CISO如何提高运营弹性
5年后的IT职业可能会是什么样子?
累不死的IT加班人:网络安全倦怠可以预防吗?
网络风险评估是什么以及为什么需要
原文始发于微信公众号(河南等级保护测评):源代码泄漏是新的威胁软件供应商应该关心的吗?
评论