近年来源代码外泄的三大主要原因
文摘
科学
2024-06-28 08:02
北京
1.内网安全防控机制不到位,内部威胁成源代码泄露原因之首。当前很多机构的网络安全建设都只针对外来攻击者,缺乏内部员工管理和权限访问控制等内网安全管控措施,导致机构员工因安全意识不足、操作失误或恶意动机,将源代码上传至GitHub等开源代码库或在离职时将源代码拷贝带走等行为比比皆是。通过对近5年发生的全球13起重大源代码数据泄露事件分析发现,54%的外泄事件是由内部人员有意或无意行为引发的。此外,美国Ponemon智库《2022年全球内部威胁成本报告》也显示,内部威胁引发的企业数据泄露风险不断加大,全球60%企业在2021年遭遇到20起以上的内部数据泄露攻击,相比2018年增长53%。2.软件供应链安全管理机制不完善,第三方非规范处理导致的源代码泄露事件与日俱增。鉴于业务需求量提升及技术人员短缺等原因,越来越多的机构选择将软件代码以项目外包的形式委托给第三方机构进行开发、运维。然而,由于大多数机构并未建立完善的软件供应链安全管理机制,未能对外包人员开发、运维过程进行安全规范和有效约束,导致源代码被上传至互联网的情况愈发增多。法国安全厂商CybelAngel在2022年发布的研究成果显示,2020至2021年间,GitHub代码平台上全新公共存储库增加了47.3%,其中绝大多数由软件外包公司创建,这直接导致了源代码泄露事件增加了66%。3.开源代码漏洞和缺陷审查机制不健全,以源代码为目标的外部网络攻击仍层出不穷。为降低软件开发人力成本和时间损耗,机构组织会在软件开发过程中引入开源组件来简化开发过程。但开源代码可能存在大量安全漏洞,未经代码漏洞和缺陷审查就直接使用会导致外部攻击者利用开源漏洞对目标系统进行入侵渗透,进而窃取源代码等系统内重要数据。芯片设计自动化厂商Synopsys《2022年开源软件安全和风险分析报告》显示,企业软件研发过程中日益倚重开源代码,面临极大的安全风险隐患。以通信行业为例,其代码库中95%都包含开源代码,但41%的通信行业的代码存在开源组件安全漏洞,因相关漏洞被黑客利用进而导致源代码被窃取的事件急剧增加。2021年至2022年,黑客以开源软件SonarQube和Gitblit的漏洞为入口,窃取了大规模关键信息基础设施系统的源代码数据,并在黑客论坛和暗网上进行非法售卖,该事件的影响极为恶劣。【摘编自《保密科学技术》2024年2月刊《全球源代码泄露事件影响、成因及对策研究》一文,作者:王伟洁、白利芳、王昊川】