最近,各大媒体发布的2.4 亿数据泄漏事件,引起了大家广泛的关注。而这次数据泄露的原因也让人啼笑皆非,某公司程序员把代码不经任何处理上传到了 Github 的公共代码库,泄露了 IP 和用户名密码,导致黑客对整个数据库进行了拖库。
整个事件暴露出目前互联网企业普遍存在的软件研发和代码安全问题,而造成这些问题的主要原因是:
1、缺乏统一的软件研发平台
毫无疑问,软件全生命周期管理是业界所接受的、可靠的软件研发模式。然而,这个管理过程是非常复杂的,不同团队和个人使用不同的工具:Maven、Jira、Junit、Sonar、SVN等等。既无法共享项目信息,又给使用上带来很多不便,这让部门之间产生了明显的信息壁垒。
2、缺少精细化权限管控
互联网公司业务场景中,需要给用户赋角色、给各角色赋权限、实现权限内信息数据的浏览及操作等细粒度权限管控。但是,实际大部分企业内部权限管理混乱,如企业员工对于项目中的重要分支随意提交代码,导致产生很多不必要的损失;无法控制成员读写权限,导致团队代码面临泄漏的危险局面;项目链接发出去后,无法限制访问人员,项目管理困难等。
3、没有完备的代码安全体系
如果公司自建 Gitlab,需要随时关注代码管理软件的各种漏洞和 Bug 并即刻更新;难以应对来自公司内部对代码仓库的恶意破坏,可能发生删库跑