我司代码被外包泄露到github,请问这种情况严重么
上传内部代码到GitHub这件事儿其实在互联网企业中挺常见的,因为互联网精神其中就包括开源精神,but站在企业角度,员工私自上传公司的代码自然是很严重的违反公司信息安全规章制度的行为,由于最近x站的代码泄露问题似乎有把这个问题炒热的趋势。
回到GitHub上传代码这件事儿本身,评估上传代码这件事儿本身,其实非核心代码上传的话影响不在于代码本身,而是在于很多代码中硬编码了很多配置文件(服务器密码、外部API的token、服务器地址)和员工敏感信息,这些往往是引发次生灾害的关键,出事儿往往就出在这种地方。因为这些数据会为攻击者提供大量的基础设施数据用来辅助渗透和入侵(引用老朋友的一句话:渗透的本质是信息收集)。
一般企业都会自己开发GitHub扫描系统(x站也不例外),但是为什么发现了还是能产生如此大的舆论漩涡呢?我个人猜测可能是没有足够的case study去支撑该种case的运营模式和套路,所以在发生这种事情的时候往往跟无头苍蝇一样(case study不一定得自己出事儿了再去study)。另一方面,企业应该对GitHub进行限制,这一方面最好的切入点是终端安全的EDR+DLP,外加针对GitHub做命令限制,尤其是commit、push这种(原因你懂的),DLP主要是防止代码在介质中的流动,而EDR是将设备和人一一对应(EDR可以用于准入的条件,不装EDR不允许连内网),这样的话,人、数据、操作、设备全齐了,取证的链条完整了。
小小总结一下:这种事儿最终还是会演变成管理问题,技术只是用来完成取证和监测以及部分的限制
■网友
考虑一下如果他“聪明”一点在贵司没有发现的情况下把代码拷贝走卖给别的公司,你们能做什么呢?nothing...
我之前的公司是有严格的把控的,代码网络分离,任何涉及到代码拷贝的行为都会被稽核,有人敢范,就地正法,杀鸡儆猴
人......是管不住的
■网友
原来b站是搞p2p的
■网友
p2p公司很快就要全被抓了,泄不泄露无所谓了吧
■网友
一定要跟外包公司签订好协议,既然是外包给他。不过这种情况下是你司和外包公司的事情,此员工你得让外包公司处理,包括删除GitHub上的代码。
■网友
参考
大疆github泄露事件
侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金20万人民币
https://m.mp.oeeee.com/a/BAAFRD000020190426156417.html
■网友
如果是私有库的话,那也不算泄露。只是用来在线版本管理而已。如果是公共库的话,那么要看你的协议怎么签。如果你们只是购买对方的软件功能,但没有写入原代码的版权的话,那么这个泄漏也是你们没有权利主张追索的。如果有相应的版权代码协议,如果要主张索赔的话,还要求举证损失的程度。仅仅挂一个公有库并不代表造成了损失。
■网友
你他娘的不会就是BILIBILI的人吧?B站还搞P2P,嘿!你他娘的还真是个天才
■网友
我们也出了这样的事情,哎~
还是内部员工,很窝火
■网友
【我司代码被外包泄露到github,请问这种情况严重么】 原来公司泄露代码的是你!!!这么担忧,让我瞧见了吧!!!
推荐阅读
- 怎样对别人的代码进行适当修改使他永远也找不到问题出在哪
- 需求文档外包怎样报价
- 异乡好居说程序员删除代码是未经证实的传言吗
- 2017年,技术外包公司还有前途吗
- 这段代码中对 vector 的访问为啥不会越界
- C语言指数函数代码
- 学计算机就是当码农吗
- 实习程序员第一个月除了看别人的代码还能干啥
- 代码背后有哪些温柔和浪漫的故事
- 请问这段代码是啥意思,从一个仿造网站上下载的软件里面的,对电脑有危害吗