请选择 进入手机版 | 继续访问电脑版

ITIL,DevOps,ITSS,ITSM,IT运维管理-ITIL先锋论坛

 找回密码
 立即注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

查看: 1102|回复: 0

DevOps 工具配置不当,导致微软、任天堂等50家名企源码泄漏

[复制链接]
发表于 2020-8-11 16:01:20 | 显示全部楼层 |阅读模式

+ c+ g. w/ I- P0 X* ?
据外媒 BleepingComputer 报道,由于基础架构配置有误,来自技术、金融、电商、制造业等众多领域的数十家知名公司源码遭到泄露。

9 K" G. c9 ]/ ^* r. I% `
这些公司包括微软、Adobe、联想,AMD、高通,摩托罗拉、海思、任天堂、迪士尼、江森自控等,而且这一名单还在不断增长中。

  T: m0 R. t1 c! [" ?# O% h
粘贴上传202008111557479127..png

0 |& e8 L$ f" R' i4 u- [

( f6 Z  t; `& _7 ^; }, D
其中较早曝光并引发大量关注的属任天堂,泄露的代码中有不少经典游戏的开发仓库,包含很多游戏原型图,有《超级马力欧世界》、被取消的《塞尔达 2》重制版、《超级马力欧 64》以及《塞尔达传说:时之笛》等等。
, C# Q5 \+ K8 l( a6 c来自瑞士的开发者 Tillie Kottmann 通过各类第三方源收集到了这些漏洞,他自己也找到了不少 DevOps 工具中的配置错误,而这些工具可以用来访问源代码。
: e% e: L; o7 b/ ]' w/ J遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有)。
2 C+ W. J! H2 D
更新:GitLab 仓库均已被删除,Kottmann 现采用 telegram 群组来公布这些信息。
粘贴上传202008111558355254..png
/ i5 ]! Q; s& h. N, ?" K, p
根据安全研究人员 Bank Security 提供的信息,该存储库中大约包含了超过 50 家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证——一种创建后门的方式。
4 c) v. P* W* x9 z/ {) r; i% `' B7 kKottmann 提到,一些代码库中确实存在硬编码凭证,他在发布前已尽可能地将其删除,“以避免造成直接伤害或是助长更大的破坏”。另外,他也坦承自己并未在发布前与每一家受影响的公司进行联系,但他们确保自己“尽了最大的努力将负面影响最小化”。
( R) I2 Y3 T* `2 r2 {2 M8 k
粘贴上传202008111559081371..png
$ |/ o& l2 J0 T1 B4 m  C2 z5 {4 z
2 n0 s& k. y  W% s# X: I) P8 K
目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann 表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。/ `2 C' K7 ?1 n* x. _( q  S
事实上,从收到的 DMCA 通知数量(估计至多 7 份)和法律代表等的联系来看,许多公司仍对代码泄露事件不知情。另有部分公司没有撤除代码的意思,甚至有公司觉得“挺有趣”,只想知道 Kottmann 是如何获得代码的。2 E0 v, f" f& h! B: N
粘贴上传202008111559355915..png
. p4 l0 _& w1 Q' O2 |4 o2 M7 w8 f) y
此次泄露的代码中,有一些项目早已由其原始开发者公开发布过,或是已经有很长时间不再更新和维护。网络安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 指出,“从技术角度来看,这次的泄露并不算很严重……若没有每天的支持和改进,源代码也会迅速贬值”。) T: K$ M3 V5 [+ @3 P
尽管如此,这样大规模的泄露事件原因还是值得引起注意。许多公司使用错误的 DevOps 工具配置,引发源码暴露。Kottmann 及其团队近期正在探索运行 SonarQube 的服务器,他们发现,有成千上万的公司由于未能正确保护 SonarQube 安装而暴露了源码。

" e0 d  q4 I1 l$ I: t+ j3 l
对于泄露源码的行为,安全专家 Jake Moore 对科技网站 Tom’s Guide 表示,“失去对源代码的控制就像将银行蓝图交给抢劫犯一样……受影响的网站应立即采取保护措施……若用户在公司之前发现自己的数据遭到泄露,那无疑是在伤口上撒盐”。
& E& T6 Y, @4 U: X* {1 _& H: y; g
基于法律层面,Kolochenko 认为源码发布者可能会因侵犯版权或违反计算机法而被起诉,但通常大型公司不会上诉,他们宁愿从存储库中快速删除源代码并修复其内部 DevOps 安全流程。

- B, g  W5 d5 R5 v
为此,Kolochenko 建议“企业应修改并持续监控 DevOps 操作,将其转换为敏捷的 DevSecOps”。(xlpanet)
' a2 f6 v! I$ e' g- {9 U* _/ x
) o- P1 L; e  S8 a# S# [




上一篇:把Dev和Ops放在一起就是Devops了吗?
下一篇:数字化转型问答
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

参加 ITIL 4 基础和中级专家认证、v3专家升级、DevOps专家认证、ITSS服务经理认证报名
本站关键字: ITIL| ITSM| ISO20000| ITIL培训| ITIL认证| ITIL考试| ITSS| ITSS培训| ITSS认证| IT运维管理| DevOps| DevOps培训| DevOps认证| itop| itil4| sre| 开源ITSM软件

QQ|ITIL先锋论坛 ( 粤ICP备11099876号 )|appname

Baidu

GMT+8, 2021-12-3 00:46 , Processed in 0.132268 second(s), 31 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表