去年,微软、Adobe、联想、AMD、高通、华为海思等50多家国内外知名企业的源代码泄露事件受到了广泛的关注,被称为“超级泄露”事件,下面我们就来说一说关于最诡异的代码你看懂了吗?我们一起去了解并探讨一下这个问题吧!
最诡异的代码你看懂了吗
去年,微软、Adobe、联想、AMD、高通、华为海思等50多家国内外知名企业的源代码泄露事件受到了广泛的关注,被称为“超级泄露”事件。
源代码泄露,就像把银行的设计交给了强盗一样
据外媒报道,此次“超级泄露”是由一名瑞士开发者Tillie Kottmann 从不同的渠道及错误的DevOps配置中提取多家公司的代码,并发布在公开平台Gitlab上,而后又在推特账号上发布了获取链接。安全专家Jake Moore称,将这些源代码公之于众,能够让网络攻击者更容易窃取公司的机密信息。“就像把银行的设计交给了强盗一样”,给企业带去的风险和危害可想而知。
多渠道泄露,防不胜防
此前,包括任天堂、B站、大疆等在内的多家公司也曾被曝出代码泄露,泄露原因不尽相同:配置错误产生漏洞、内部员工误传Github、劳务纠纷恶意泄露、同行竞争偷取等等。无论是主动泄露还是被动泄露,一旦互联网通道打开,公司都会失去对源代码的控制。
从根源解决你的代码泄露问题
互联网时代,安全和效率是每个研发团队最为关注的两个话题。出于安全考虑,开发环境时常置于内网。因日常协作、或敏捷开发需求,员工不可避免需要访问各类SaaS软件或者开源社区。显然,原本置于内网的代码就会存在泄露的风险,VPN的使用又因为打通了网络层而为外部的威胁进入建立了通道。 抛弃“哪里缺了补哪里”的传统安全思路,解决代码泄露,我们需要思考“如何让你的代码出不去”。拆解一下,这个问题就变成了“不该碰的人碰不到”和“碰到的人也拿不走”两个解决步骤。
不该碰的人碰不到:零信任是最有效的解决方案
对所有访问代码环境的个人、终端、报文、应用等都进行持续的验证,保证访问流量的安全可靠。目前,零信任网络访问是最直接有效的解决方案。在零信任环境下,不仅能实现细粒度访问控制,还能实现隐藏公司的服务器不暴露于公网,从而免受外部的威胁,全面实现“事先预防”。
碰到的人也拿不走:你需要一个终端保险柜
源代码作为企业的重要数字资产,需要有一个”超级保险柜”。企业需要在终端建立一个虚拟的安全域,彻底隔离企业数据和个人数据。虚拟安全域内的数据无法导出或拷贝到外部,这样,这个“保险柜”内的核心资产就都出不去。
小编观点:真正的安全要做到事前预防、事中审计、事后追溯
真正的安全不仅仅是事先预防,事中审计和事后追溯一样重要。为此,缔盟云新推的零信任网络安全产品太极界在保证“碰不到”“拿不走”的同时,又赋能企业管理员可以随时随地在控制台进行操作日志审计,对可疑行为、可疑账户进行动态权限调整,让“风险”有迹可循。作为2020年Gartner零信任网络访问全球市场指南入围的产品,太极界从源头解决风险,保障企业数字业务环境安全,兼顾效率与体验。
,
