去年,微軟、Adobe、聯想、AMD、高通、華為海思等50多家國內外知名企業的原始碼洩露事件受到了廣泛的關注,被稱為“超級洩露”事件。
原始碼洩露,就像把銀行的設計交給了強盜一樣
據外媒報道,此次“超級洩露”是由一名瑞士開發者Tillie Kottmann 從不同的渠道及錯誤的DevOps配置中提取多家公司的程式碼,併發布在公開平臺Gitlab上,而後又在推特賬號上釋出了獲取連結。安全專家Jake Moore稱,將這些原始碼公之於眾,能夠讓網路攻擊者更容易竊取公司的機密資訊。“就像把銀行的設計交給了強盜一樣”,給企業帶去的風險和危害可想而知。
多渠道洩露,防不勝防
此前,包括任天堂、B站、大疆等在內的多家公司也曾被曝出程式碼洩露,洩露原因不盡相同:配置錯誤產生漏洞、內部員工誤傳Github、勞務糾紛惡意洩露、同行競爭偷取等等。無論是主動洩露還是被動洩露,一旦網際網路通道開啟,公司都會失去對原始碼的控制。
從根源解決你的程式碼洩露問題
網際網路時代,安全和效率是每個研發團隊最為關注的兩個話題。出於安全考慮,開發環境時常置於內網。因日常協作、或敏捷開發需求,員工不可避免需要訪問各類SaaS軟體或者開源社群。顯然,原本置於內網的程式碼就會存在洩露的風險,VPN的使用又因為打通了網路層而為外部的威脅進入建立了通道。 拋棄“哪裡缺了補哪裡”的傳統安全思路,解決程式碼洩露,我們需要思考“如何讓你的程式碼出不去”。拆解一下,這個問題就變成了“不該碰的人碰不到”和“碰到的人也拿不走”兩個解決步驟。
不該碰的人碰不到:零信任是最有效的解決方案
對所有訪問程式碼環境的個人、終端、報文、應用等都進行持續的驗證,保證訪問流量的安全可靠。目前,零信任網路訪問是最直接有效的解決方案。在零信任環境下,不僅能實現細粒度訪問控制,還能實現隱藏公司的伺服器不暴露於公網,從而免受外部的威脅,全面實現“事先預防”。
碰到的人也拿不走:你需要一個終端保險櫃
原始碼作為企業的重要數字資產,需要有一個”超級保險櫃”。企業需要在終端建立一個虛擬的安全域,徹底隔離企業資料和個人資料。虛擬安全域內的資料無法匯出或複製到外部,這樣,這個“保險櫃”內的核心資產就都出不去。
小編觀點:真正的安全要做到事前預防、事中審計、事後追溯
真正的安全不僅僅是事先預防,事中審計和事後追溯一樣重要。為此,締盟雲新推的零信任網路安全產品太極界在保證“碰不到”“拿不走”的同時,又賦能企業管理員可以隨時隨地在控制檯進行操作日誌審計,對可疑行為、可疑賬戶進行動態許可權調整,讓“風險”有跡可循。作為2020年Gartner零信任網路訪問全球市場指南入圍的產品,太極界從源頭解決風險,保障企業數字業務環境安全,兼顧效率與體驗。
