产品体验中心 下载与支持 产品社区 合作代理 |  咨询电话:400-035-7887/021-6072 5088
当前位置:泽众软件测试网- 技术文章 -正文

50多家公司源代码被泄露究竟是为何?微软、高通竟也在其中

发布时间:2020-07-30

不管对于哪一家公司来说,公司源代码都是非常重要的。可以说,只要掌握了源代码就可以复制一个相同的应用程序,而最近竟然发生了一件50多家公司源代码被泄露的事件,并且华为海思、联想、微软、高通、联发科、通用电气、任天堂、迪士尼等公司也在其中。

据外媒报道,遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有)。根据安全研究人员 Bank Security 提供的信息,该存储库中大约包含了超过 50 家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证。(一种创建后门的方式。)

这些泄露的代码由瑞士黑客Tillie Kottamann收集。据专注于银行业安全的Bank Security统计,其GitLab公开存储库中有50多家公司的相关源代码。

其中一家涉事公司teamapt随即进行了调查,发现他们泄露的代码主要是驻留在静态代码分析工具上的代码快照。

CodeAnalyzer(代码质量管理)

对于这件事,有些专家表示,公司源代码被公众查看的话,可以使网络攻击者更容易窃取公司的机密信息,失去对互联网源代码的控制,就像把银行的蓝图交给劫匪一样。

目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann 表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。

对于为什么会有这样多的公司源代码泄露,Tillie Kottamann和一些开发人员说,这个泄露的原因是其公司使用了配置错误的DevOps工具。因此,现在一些开发人员表示他们正在研究CodeAnalyzer软件,CodeAnalyzer是专业代码质量管理的代码审查软件,用于实现静态分析、代码走查等,用于发现代码错误和安全漏洞。

网络安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 指出,“从技术角度来看,这次的泄露并不算很严重……若没有每天的支持和改进,源代码也会迅速贬值”。

不过就算是这样,如此大规模的公司源代码的泄露也是要引起注意的,因为公司源代码的泄露是要给公司带来很大的损失的。比如,去年,大疆前员工泄露公司源代码,而这些泄露出去的代码,已用于该公司农业无人机产品,具有实用性。尽管大疆公司采取了合理的保密措施,但该次事件依然给大疆造成经济损失116.4万元人民币。

推荐阅读:

想要了解代码静态分析技术,这些知识不可错过

白盒测试的基本方法有哪些?与黑盒测试的区别?

比较常用的白盒测试工具有哪些?

Java静态代码扫描怎么做?Java静态代码扫描工具的使用方法

为什么要做白盒测试?哪些项目适合白盒测试?

为什么要进行代码检查?静态代码分析工具的优势有哪些

什么情况下需要进行静态程序分析?常用Java静态代码分析工具的优势

本文内容不用于商业目的,如涉及知识产权问题,请权利人联系SPASVO小编(021-60725088-8054),我们将立即处理,马上删除。
沪ICP备07036474号 2003-2024 版权所有 上海泽众软件科技有限公司 Shanghai ZeZhong Software Co.,Ltd.
微信
咨询

添加客服微信 欢迎咨询测试工具和测试服务

微信客服
问题
反馈
产品
画册

扫描二维码下载泽众软件企业宣传册

产品画册
返回
顶部

方案咨询

×
提交信息

电话咨询,400-035-7887,安排专业技术售前给您解答(产品试用、技术交流、服务咨询和商务报价)。

您的信息已成功提交!

我们的客服人员稍后会与您联系