|
DevOps 工具配置不当,导致微软、任天堂等50家名企源码泄漏
据外媒 BleepingComputer 报道,由于基础架构配置有误,来自技术、金融、电商、制造业等众多领域的数十家知名公司源码遭到泄露。
这些公司包括微软、Adobe、联想,AMD、高通,摩托罗拉、海思、任天堂、迪士尼、江森自控等,而且这一名单还在不断增长中。
其中较早曝光并引发大量关注的属任天堂,泄露的代码中有不少经典游戏的开发仓库,包含很多游戏原型图,有《超级马力欧世界》、被取消的《塞尔达 2》重制版、《超级马力欧 64》以及《塞尔达传说:时之笛》等等。 更新:GitLab 仓库均已被删除,Kottmann 现采用 telegram 群组来公布这些信息。
根据安全研究人员 Bank Security 提供的信息,该存储库中大约包含了超过 50 家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证——一种创建后门的方式。
此次泄露的代码中,有一些项目早已由其原始开发者公开发布过,或是已经有很长时间不再更新和维护。网络安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 指出,“从技术角度来看,这次的泄露并不算很严重……若没有每天的支持和改进,源代码也会迅速贬值”。 尽管如此,这样大规模的泄露事件原因还是值得引起注意。许多公司使用错误的 DevOps 工具配置,引发源码暴露。Kottmann 及其团队近期正在探索运行 SonarQube 的服务器,他们发现,有成千上万的公司由于未能正确保护 SonarQube 安装而暴露了源码。
对于泄露源码的行为,安全专家 Jake Moore 对科技网站 Tom’s Guide 表示,“失去对源代码的控制就像将银行蓝图交给抢劫犯一样……受影响的网站应立即采取保护措施……若用户在公司之前发现自己的数据遭到泄露,那无疑是在伤口上撒盐”。
基于法律层面,Kolochenko 认为源码发布者可能会因侵犯版权或违反计算机法而被起诉,但通常大型公司不会上诉,他们宁愿从存储库中快速删除源代码并修复其内部 DevOps 安全流程。
为此,Kolochenko 建议“企业应修改并持续监控 DevOps 操作,将其转换为敏捷的 DevSecOps”。(xlpanet) |