FOne CodeSec
关于信息安全
信息安全关系到企业发展。对于IT类企业,代码泄露是典型的信息安全事故,主要表现为项目源代码等资料被泄露到网上。代码泄露会导致核心技术机密泄露、客户资料泄露等情况发生,给企业带来经济损失或法律纠纷,因此避免信息泄露很有必要。
信息泄露事故主要是由于企业内部员工的违规操作造成的,比如在个人博客中张贴企业内部项目代码、使用公共存储服务上传公司项目代码等。为了避免信息泄露的发生,企业一方面需要加强员工的信息安全教育,防患于未然。另一方面需要定期检查现有项目,尽早发现已经发生的泄露事件。
近年,市场上的产品或者解决方案,主要针对信息泄露的预防,采用一些安全策略(访问控制权限等)或者是一些技术手段(加密等)。但是,不管技术或者安全策略多么坚固,信息泄露的案件时有发生。比如,2017年6月,媒体曝光Win10代码泄露,包含着Win10 Mobile、最新的Win10创作者更新与ARM版Win10的部分内容。2018年2月,iOS9系统的iBoot关键代码被匿名公开在GitHub上,堪称史上最大代码泄露事件。因此面对防不胜防的代码泄露案件,及时自动检测代码泄露势在必行。
图示源码泄露场景:
• 将源码上传至开源网站,以供将来参考,造成泄露;
• 为了解决技术问题,将源码片段公开至技术论坛,寻求帮助,间接造成泄露;
• 基于源码撰写技术文