你的代码曝光了吗

发布时间：2022-04-25 13:54 所属栏目：53 来源：互联网

导读：就在几周前，每个安全分析师都在谈论一个名为 Lapsus$ 的勒索组织：他们窃取并泄露了一些大型科技公司的源代码，其中包括来自三星的近200GB 源代码和微软必应、必应地图以及 Cortana 项目的部分源代码。而就在几个月之前，流媒体平台Twitch也遭遇了同样的命

就在几周前，每个安全分析师都在谈论一个名为 Lapsus$ 的勒索组织：他们窃取并泄露了一些大型科技公司的源代码，其中包括来自三星的近200GB 源代码和微软必应、必应地图以及 Cortana 项目的部分源代码。而就在几个月之前，流媒体平台Twitch也遭遇了同样的命运。

  过去几年中，我们目睹了企业数据库在线泄露事件的激增。虽然所有提到的泄密都属于恶意行为——黑客的动机是通过表明他已经入侵了公司并可以访问数据来向公司施加压力——但我们不要忘记，错误发生的频率确实比我们想象的要多，而且悄无声息：当开发人员以为在私有环境中工作却无意中推送到公共数据库就足够了。

  不幸的是，除了明显的声誉损害之外，源代码泄露的问题有时会被误解。因此，本文将总结源代码泄漏导致的风险，但最重要的是，为您提供了解您的公司是否成为受害者的方法。今天将邀请您使用专用的免费工具来评估您的 GitHub 足迹。

  源代码和知识产权
  在一个95% 的 IT 部门都会以某种方式依赖开源软件的世界里，人们很容易忘记，从编写第一行代码的那一刻起，源代码就被视为知识产权，它受版权保护。事实上，包含说明版权所有者和权限的源代码文件很常见。

从本质上讲，源代码是一种有漏洞的资产。分布式版本控制系统和代码共享平台极大地促进了整个代码库在互联网上的扩展和应用。与此同时，这又推动了开源社区的发展，并取得了巨大的成就。但对于越来越多将源代码作为核心价值资产的公司来说仍然存在问题。因此，确保在全球范围内尊重源代码版权已成为一项几乎不可能完成的任务。

如何确定您的源代码是否泄露？
如前所述，无论您的企业过去是否遭受过数据泄露，您的专有代码都可能在您不知情的情况下公开出现在 GitHub 上。即使您的企业在该平台上没有正式亮相，您的开发人员也有可能参与开源项目或使用个人存储库来共享代码。

因此，应该认真对待您公司在 GitHub 上的信息。威胁情报应该可以解答以下问题：互联网上可以公开哪些资产？它们包括用户数据吗？它们是否提供了攻击者可以利用的关键且有效的信息？是否仍然可以控制泄露的资产（例如，通过启动 DMCA 删除流程）？

从技术层面讲，识别源代码泄漏的唯一解决办法是对专有代码进行指纹识别，并将其与公共文件数据库进行比较。这正是 HasMyCodeLeaked 的目的，这是GitGuardian提供的免费工具，可帮助任何人快速识别与知识产权相关的最关键匹配项。该工具的工作原理就是在 GitHub 的公共历史记录中精确查找您的代码指纹（识别文件的校验和，包括所有修订版本）。

它将为您生成包含源代码的所有存储库的可搜索报告，并通过智能过滤来识别高风险存储库。

（编辑：ASP站长网）

&#8203;你的代码曝光了吗

你的代码曝光了吗