全球50家知名企業源代碼批量外泄，只因一個問題被忽視？

源代碼泄露的量級一直在刷新「史上最大規模」。

據外媒報道，上週包括微軟、Adobe、AMD、任天堂、華爲海思、聯想在內、橫跨不一樣領域的50多家全球知名企業的源代碼遭到泄露，且源代碼遭泄露企業的名單還在不斷增長中。

雖然不少遭泄露的源代碼已由其原始開發人員公開發布，或在好久之前進行了最後更新，且Kottmann也應部分企業的要求刪除了代碼，但仍有部分源代碼存在硬編碼憑證，可以被不法分子用來建立後門程序，從而發動更增強大的惡意攻擊。

很多安全專家將這次事件定義爲有史以來最大範圍的一次源代碼泄露事件，並表示：「在互聯網上失去對源代碼的控制，就像把銀行的設計圖交給搶劫犯同樣。」

01象徵「產品生命線」的源代碼爲什麼被泄露？

源代碼指的是編寫的最原始程序的代碼，主要對象是面向開發者。而人們日常使用的應用程序都是通過源碼編譯打包之後發佈呈現的。

對於一家企業來講，旗下產品的源代碼就至關於產品的生命線。若是產品的源代碼被其餘開發者所掌握，除了能將產品完美「復刻」外，還能夠經過閱讀源代碼的方式找到程序中存在的漏洞從而發起攻擊。因此每當有源代碼被公開，都將爲企業帶來巨大的損失。

儘管開發團隊還在加緊排查這次源代碼外泄的主要緣由，但有技術人員指出，目前有很多企業所使用的DevOps工具中存在配置錯誤、配置不當的狀況，會致使源代碼或其餘重要數據泄露。

做爲一款雲原生、API所驅動的開發工具，DevOps憑藉高效、便捷、可靠等優點，被雲上企業普遍應用於業務開發和部署的過程當中。但因爲企業缺少對異常API調用、SecretKey泄漏等雲原生安全問題的檢測手段，加上研發人員不當配置的因素，致使企業的源代碼面臨泄露的風險。

今年年初，某母嬰零售企業的研發人員爲方便開發，把代碼上傳到開源代碼庫-GitHub進行託管，其中有部分代碼包含了公有云對象存儲桶的域名。但由於安全配置不當，該存儲桶開放了公有的讀寫權限，留下了安全隱患。

不法黑客爬取了這段代碼和域名，並經過域名輕鬆訪問了該存儲桶。不巧的是，存儲桶內還保存了公有云上數據庫的外網訪問域名以及端口。同時因爲該企業的雲數據庫安全配置不當，致使端口直接暴露在互聯網上，不法分子隨即對數據庫進行爆破攻擊，不費吹灰之力就得到了該企業的大量數據和源代碼，給企業和消費者都形成了嚴重的損失。

隨着產業互聯網發展的步伐逐步加快，將有愈來愈多的企業在將業務和數據遷徙至雲上的同時，將業務的開發工具切換成雲原生的DevOps，以保證雲上業務的開發效率並進一步實現自身數字化轉型的目標。但若是缺少對於雲原生安全問題的檢測和應對手段，企業就可能因遭到惡意攻擊，致使核心數據和源代碼被竊取的嚴重後果。

02不當雲配置成爲致使雲上安全事件發生的主要緣由

騰訊安全在7月舉辦的「產業安全公開課·雲原生專場」中，騰訊安全高級工程師耿琛在直播中分享了本身的觀點：實際上安全配置風險是致使雲上安全事件發生的主要緣由，也是雲上企業最容易忽略的安全問題。

數據顯示，大概有42%的雲基礎設施存在配置風險，76%的雲上企業暴露22端口。「若是企業的22端口暴露在外，且存在弱口令的話，黑客就可以很輕易的攻陷企業的雲上設施。」 耿琛表示。

除了須要關注木馬、漏洞等傳統安全威脅外，雲上企業還須要具有針對異常API調用、SecretKey泄露等雲原生安全問題的檢測能力和手段。耿琛指出，現階段黑客組織在攻擊雲上業務和系統的時候，會嘗試在GitHub這類開源，對平臺上泄露的密鑰進行抓取。若是企業的API密鑰泄露，那麼其雲上系統將毫無安全可言。

03構建雲原生安全體系或是破局之道

儘管本次源代碼大規模泄露的真正緣由還在排查中，源代碼泄露最終會對哪家企業形成何種程度的損失咱們也無從得知。但本次事件仍爲全部雲上企業敲響了警鐘，不當雲配置和缺少針對雲原生安全問題檢測手段，會成爲源代碼或其餘核心數據泄露的直接緣由。

隨着我國企業數字化轉型進程的不斷加速，將來將會有更多企業遷移至雲上，但傳統安全體系不只沒法適應雲上環境，更缺少對雲原生安全問題的應對手段。對此，耿琛建議企業應該以雲原生的思路構建雲的安全體系來應對雲環境中的安全問題，而不是簡單的將傳統安全體系搬到雲上。

「依照咱們的實踐經驗，構建雲原生安全運營體系須要雲原生爲中心，以安全左移、數據驅動及自動化爲基本支撐。」耿琛表示，企業若是想要避免因不當雲配置或雲原生安全問題形成損失，最重要的就是安全左移和自動化這兩點。

安全左移，指的是雲原生安全運營體系首先應該具有事前感知安全威脅和配置風險檢查能力，以構建安全預防體系的方式提高總體安全水平；而自動化則要求雲原生安全運營體系須要具有對雲原生安全問題自動檢測、響應和處置的能力。

可是對於中小型企業來講，自行搭建雲原生安全運營體系的難度較大，可使用市面上較爲成熟的安全產品。例如騰訊安全運營中心就能夠經過自動化配置檢查功能對雲上配置風險進行自動化識別和評估，幫助企業杜毫不當雲配置所帶來的安全隱患。

此外，針對SecretKey泄露及異常API調用等雲原生安全問題，騰訊安全運營中心中集成的Cloud UBA架構和泄露監測模塊，會保持對用戶異常行爲和網絡黑市的檢測，減小因密鑰泄露而致使的安全事故。