开源最前线(ID:OpenSourceTop) 猿妹综合整编
综合自:theprovince、businessinsider、bleepingcomputer等
由于基础设施配置错误,来自技术、金融、零售、食品、电子商务、制造业等多个领域的50多加企业的源代码泄露,泄露代码的公公存储库包括Microsoft,Adobe,Lenovo,AMD,Qualcomm,摩托罗拉,华为海思,联发科技,GE Appliances,任天堂,Roblox,迪士尼,江森自控等知名公司;而且这个清单还在增长。
这些源码是由逆向工程师Tillie Kottmann收集的,这些泄漏来自各种来源,也来自他们自己找到的一些配置错误的devops工具,通过它们就可以访问源码。在GitLab上的公共存储库中可以找到大量此类泄漏的源码,这些文件的名称被标记为“绝密”及“保密 / 专有”,不过并不是所有文件夹都有东西。Kottmann表示他会尽力避免这些源码产生重大问题,在发布代码之前,虽然他们并没有和受影响的公司联系,但是会最大的努力使发布带来的负面影响最小化。Kottmann还表示,他们会根据一些企业的要求删除了这些源代码,Daimler AG,梅赛德斯-奔驰的母公司还有联想公司的文件夹已经是空的。但是,从收到的DMCA通知数量(估计最多7份),可能许多公司还不知道泄露情况。也有一些企业注意到了其源码泄露也不会费心去删除它,有些企业的开发人员更关心的是Kottmann是如何获得代码的,并没有要求他删除,甚至还觉得“挺有趣”的。
目前,尚不清楚服务器上的代码中有多少是私有的,在查看了一些代码之后,他认为某些项目己由其原始开发人员公开发布过了,而另一些项目已经过时了,或者是长时间没有进行更新。在 Telegram 频道中,这位开发人员提供了关于其他安全漏洞的更多详细信息,其中还涉及在网上被称为“Gigaleak”的任天堂外泄代码。此次任天堂源代码泄露,尤其受到游戏行业的关注。我们可以在其代码中看到多款经典游戏的开发 repo(包含大量图形原型,具体涉及〈超级马力欧世界〉、被取消的〈塞尔达 2〉重制版、〈超级马力欧 64〉以及〈塞尔达传说:时之笛〉)。这已经不是第一次没有足够保护的公司源代码。一月份的时候,一位加拿大安全开发人员和研究人员发现了两个公开的GibHub帐户,这些帐户带有应用程序源代码,内部用户名和密码以及Rogers Communications的私钥,虽然代码已经过时了。去年,同一位研究人员也在Github上发现了丰业银行的源代码。网络安全公司ImmuniWeb的创始人兼首席执行官lia Kolochenko表示,从技术角度来看,这次的源码泄露并不是很严重,除非他拥有更高的技术,可以让复杂的系统正常运行,否则大多数源码都是毫无价值的,此外,源码的更新迭代速度很快,如果不能跟上每天的支持和更新,一般人是无法利用这些源码获取利益的。他还表示,发布该代码的研究人员可能会因为各种原因被起诉,比如侵犯版权,违反计算机犯罪法等,不过大多数大公司都不会起诉,他们更可能做的是从存储库中快速删除源代码并修复其内部 DevOps 安全流程。为防止源码泄露,lia Kolochenko建议“企业应修改并持续监控 DevOps 操作,将其转换为敏捷的 DevSecOps”。
●编号1079,输入编号直达本文
●输入m获取到文章目录
