乐趣区

关于阿里云:如何避免黑客攻击国内首个云端加密代码库来帮忙

近日,英伟达证实遭逢黑客攻击,外围源代码惨遭泄露,40 多万个文件,75GB 秘密数据被公开。那么企业和集体开发者如何爱护源码平安不透露呢?

首先,咱们看下代码的不平安有哪些因素导致?

第一种,编码中自引入危险破绽,如 2021 年底 Apache Log4j2 近程代码执行破绽(CNVD-2021-95914),(参考浏览《云效提供 Apache Log4j2 破绽紧急修复计划》)​

第二种,代码数据失落或透露,员工歹意或手误删除代码数据、非核心技术人拜访权限不明导致外围数据泄露等,譬如删库跑路。

第三种,来自内部黑客攻击,如存在基础设施、组件破绽导致的被攻打损失。如本次的英伟达遭逢了南美黑客组织“LAPSU$”。

之前云效就如何防止编码中引入危险破绽具体论述了,《Codeup 代码智能平安检测服务》,那么就这种来自内部攻打的代码平安加密如何提前预防呢?

首先,咱们来剖析下这次英伟达证实遭逢黑客攻击,外围源代码惨遭泄露的最次要的起因:内网互通 代码数据明文存储。

内网互通

在建设 IT 环境的时候,受制于设施、环境复杂度等一些列起因,不少企业往往只保护了一个到几个大量的内网环境,依附内部的防火墙抵挡攻打。一旦防火墙被冲破,黑客就能借助突破点作为跳板,进行内网探测,遍历内网的服务器资源。

代码数据明文存储

为什么要归因于代码明文存储呢?咱们看到,在此次攻打,黑客组织在冲破了英伟达的防火墙之后,长驱直入,通过内网探测间接扒走了大量的服务器数据,而代码数据正在此之列。

Git 作为当今应用范畴最广的版本控制系统,也如同 SVN 等其余版本控制系统一样,自身并不具备数据加密的能力。也就是说,只有能够接触到存储代码资产的服务器,就能盗走其上的代码资产数据。

其次,如何防止这种状况,企业能够尝试 设置网络隔离 数据加密技术

设置网络隔离

通过建设多个牢靠的外部网络,仅容许通过特定的端口及形式进行服务拜访。这就好比一个房子外面,每个房间都设置了独立的锁,即便一个房间被攻破,也很难疾速进入其余加锁的房间进行大规模的毁坏。

应用数据加密技术

数据加密技术,则是保障数据资产安全性最间接的伎俩,通过加密数据资产,保障资产的安全性。

数据加密次要有三种解决方案:

  1. 客户端加密
  2. 磁盘加密
  3. 动态加密

对于上述的三种解决方案,在云效此前的《代码平安无忧—云效 Codeup 代码加密技术倒退之路》一文中进行了具体的形容。云端加密代码库是云效团队的自研产品个性,是目前国内首个反对代码加密的代码托管服务,也是目前世界范畴内首个应用实时加密计划的代码托管服务。

在此次产生的案例当中,云效的代码加密技术能够对代码仓库起到无效的爱护作用。对于像英伟达这样的科技企业来讲,代码资产是企业最重要的外围资产,平安问题没有后悔药,能做的只有继续的辨认和防备。

通过在云端对托管在云效 Codeup 的代码库进行动态加密,能够无效防止数据拥有者之外的人接触到用户的明文数据,防止数据在云端产生泄露。同时,代码加密过程对用户齐全通明,用户能够应用任意官网 Git 端(包含但不限于 Git、JGit、libgit2 等)来拜访 Codeup 上的代码仓库。

最初欢送大家试用云效 Codeup,如果你想理解更多对于代码加密的技术内容,能够浏览《代码仓库加密是如何实现的?》。

参考浏览:

Apache Log4j2 丨阿里云「流量 + 利用 + 主机」三重检测防护指南

云效平安哪些事儿 -Codeup 代码智能平安检测服务

平安那些事儿 - 数据回收站 & 代码备份

揭秘!业界翻新的代码仓库加密技术

对于咱们

理解更多对于阿里云云效 DevOps 的最新动静,可微信搜寻并关注【云效】公众号;

福利:公众号后盾回复【平安】收费下载云效产品安全白皮书!

回复【指南】,可取得《阿里巴巴 DevOps 实际指南》&《10 倍研发效力晋升案例集》;

看完感觉对您有所帮忙别忘记点赞、珍藏和关注呦;

退出移动版