这篇文章给大家聊聊关于b站网站源码分享,以及b站html源码对应的知识点,希望对各位有所帮助,不要忘了收藏本站哦。
前段时间我们单位发生了一起严重的代码泄露事件。供应厂商人员将系统核心代码上传到了github,结果正好赶上国家冬奥会+两会重保,被公安安保人员发现。领导大发雷霆,属下瑟瑟发抖+加班整改,总之一阵鸡飞狗跳。
一、代码泄露事件
代码安全事件近几年时有发生。关于代码泄露的报道,大家在网上也经常看到,相信很多人都已经习以为常了。其实代码泄露给公司带来的损失还是很大的。不但经济损失,如果代码中包含客户信息,还会带来名誉损失,甚至引起法律纠纷。代码泄露不但是小公司,连苹果、微软这样防范严密的大公司也无法幸免,国内的大疆、B站也都发生过。
2017年,大疆前员工将含有公司商业机密的代码上传到了GitHub的公有仓库中,造成源代码泄露的事件。根据当时的报道,通过这些源代码,攻击者能够访问客户的敏感信息,比如用户信息、飞行日志等等。
大疆代码泄露
2018年2月,一位名为“ZioShiba”的用户在开源代码托管平台GitHub上泄露了苹果公司专有的iBoot源代码。根据苹果公司的声明,遭到泄露的是两年前iOS9的源代码,与现在相隔甚远,不会导致大规模安全事件。但仍然可能被相关iOS安全研究人员和越狱爱好者加以利用,在iPhone锁定系统中发现其他新的漏洞。
2019年4月,B站整个网站后台工程源码泄露,并且“不少用户密码被硬编码在代码里面,谁都可以用”。当天,在开源及私有软件项目托管平台GitHub上,出现了名为“哔哩哔哩bilibili网站后台工程源码”的项目。导致当日B站股价跌3.27%。
B站代码泄露
2020年3月,AMD发布了一条公告,宣布有黑客窃取了AMD现在及即将发布的图形产品及子集的测试文件,尽管目前已知的并不是AMD图形产品的核心机密,但还不确定黑客是否还拥有其他任何AMDIP。
2020年7月,包括微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼在内的50家知名公司的源代码泄露,并被发布在了公开网络上。
2021年1月,三井住友银行的一名前员工,为了找工作,在开源网站GitHub上传了自己写过的三井住友银行的部分源代码。1月29日,三井住友银行(SMBC)1月29日公开回应,网传的银行系统源代码泄露确有其事,但是泄露的代码已经是6年前的版本,对客户信息和交易安全不会产生影响。除了三井住友银行之外,还有许多知名日企如NTTdata、NEC的源代码也同时泄露。
从上面几个案例可以看到,开发人员通过github等代码仓库上传源代码是泄露的一个主要途径。
二、常见的防护手段
思路一:
技术上,DLP+github代码泄露监控;管理上,重罚+全员通告。
问题:不能完全杜绝。DLP总有对抗手法,对代码的效果也有待检验。如果真想带走代码,一般都上传github私有账号和各类网盘。github对私有项目基本不可能发现,公用项目也很难做到全面发现,要依赖大量的规则和运营。
思路二:
断网+VDI云桌面方式。事前监控、DLP、事后处罚。其中终端DLP尽可能多覆盖各种客户端工具和浏览器,开发环境离线。
问题:该方案可能会影响正常开发工作,github监控+处罚好点。没办法杜绝,只能提高检测的手段和能力,然后加大处罚力度进行威慑。
另外VDI解决不了用mac本开发的问题,目前好像没有mac的vdi产品。
思路三
禁止github访问,或者能否做到上传和下载分开,禁止上传。
问题:很多公司禁止不了访问guthub,研发常需要下载github部分代码组件直接copy过来,或者查看gitbook的博客文档。尤其是开发过程中需要和大量第三方机构联调,没法断网。安全要平衡研发效能。
思路四
还有一种治理思路:联合基础架构侧提供的Saas化的IDE,来确保代码不落本地,进而管控权限和减少代码泄露途径。
这种方式对安全侧需求比较容易达成,上面说的风险面基本可以收敛;主要对服务提供方的要求高:高可用性和体验要做到接近原生IDE。
云IDE是好东西,类似研发场景下的VDI,研发效能有需求,安全团队搭车就好,看看安全能力怎么放进去,比如安全研发的需求。
思路五
管理的角度:规章制度定好,宣贯好,技术手段能监控发现的就发现,事件驱动,发现了处罚。避免前期各种阻断,为了极小部分的泄露,影响整个研发。
三、总结
从前面的防护思路也可以看到,关键是企业要清楚地认知到代码/数据对公司意味着什么,重要性到什么程度,也就是首先需要建立公司级的防护策略、数据安全管理体系和制度。确定好防护力度,平衡好安全和业务效率之间的关系,才能进一步做到防护的针对性。
大部分企业的代码泄露还是内部人员为主,要治理起来需要管理+技术结合。把代码上升到公司核心数据的高度,让开发人员树立起代码安全的安全意识,然后针对代码仓库的认证、权限管控都是基本面保障技术手段。
总之,没有一成不变的方法,只有适合自己的才是最好的。
关于本次b站网站源码分享和b站html源码的问题分享到这里就结束了,如果解决了您的问题,我们非常高兴。