推特源代码在GitHub 泄漏三个月之久

GitHub 是世界全球最大的代码托管平台，服务超过1亿名开发人员，共包括近400个仓库，隶属于微软。

3月24日，GitHub 按照一名推特员工的请求，删除了“推特平台和内部工具的专有源代码”。该代码由用户名为 FreeSpeechEnthusiast 发布在 “PublicSpace” 仓库中。这一名称显然是引用了马斯克在去年10月接管推特时的“战争借口”。

被泄露的代码位于四个文件夹中。尽管在3月24日已无法访问，但其中一些文件夹名称如 “auth” 和 “aws-dal-reg-svc” 似乎表明其中所含内容。

媒体Ars Technica报道称，FreeSpeechEnthusiast 在今年1月3日注册 GitHub 账号并在同一天提交了所有被泄代码。这意味着，在近三个月的时间里，公众可访问推特源代码。

主要软件公司都构建于数百万行代码的基础上，出于各种原因，其中某些代码遭泄露。GitGuardian 公司的开发倡导者 Dwayne McDaniel 提到，“当然恶意人员是主要原因。去年三星和优步事件就与 LapsusS 组织有关。”

然而，黑客并不一定总是事件参与者。在推特事件中，间接证据指向一名对公司不满的员工。他补充道，“就像丰田事件中一名承包商导致私密代码库被公开那样，很大一部分原因在于代码的最终非预期去处。Git 和 CI/CD 协作的复杂度，加上现代应用程序要处理的仓库数量不断增长，意味着非公开仓库中的代码可被不慎公开。”

Synopsys 网络安全研究中心的首席安全战略师 Tim Mackey 指出，“有必要牢记的一点是，源仓库中通常不仅包含代码，还可能包括测试用例、潜在的样本数据以及关于软件如何配置的详情。” 敏感的个人信息和验证信息也可能包含在内。例如，“对于无意交付客户的某些应用而言，源代码仓库中所包含的默认配置可能就是运行配置。”黑客可利用被盗的认证和配置数据执行更大规模的攻击，从而泄漏信息。

McDaniel 指出，这就是为何“企业应当采取更加安全的机密管理策略，将机密存储和机密检测结合的原因。组织机构还应当审计当前的机密泄漏情况，了解代码如被泄露后哪些系统位于风险之中，并了解应当优先处理的事项。”但如果泄漏源自内部，就像推特公司的案例这样，则需要额外注意。企业应当通过完整的威胁建模和分析，对源代码进行管理。

Mackey 提到，“这一点之所以重要的原因在于，如果有人可以触发源代码泄漏，则可能还具备更改源代码的能力。如果访问时未使用多因素认证机制，仅对获批准的用户执行限制访问、执行访问权限和访问监控，则无法完全了解其他人如何可利用开发团队在保护源代码仓库时所做的假设。”

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~