01事件回顾
凌码公司源代码泄漏事件
司法网公告,被告人项某、孙某均系新加坡商人投资的凌码信息技术(上海)有限公司的软件工程师。2000年4月,项某被公司派往马来西亚ARL公司进行门户网站建设。在此期间,ARL公司曾以高薪邀请项某加盟,但因故未果。后来因两家公司合作关系未达成一致,项某被本公司招回。回司后由于个人要求未得到满足,对公司不满,遂积极拉拢孙某加盟ARL公司。两人商定,孙某将其编制的软件源代码交给项某,由项某转交ARL公司并作演示,借此向对方推荐孙某。同年11月初,项某前往ARL公司,通过新浪网的个人信箱下载了孙从国内发出的软件源代码,并将源代码安装到ARL公司服务器上进行演示。此事被凌码公司发觉后,向警方报案,遂案发。
思科源代码泄漏事件
据Bleepingcomputer报道,思科公司(Cisco)正在调查一起严重的数据泄露事件。一位名为“IntelBroker”的知名黑客在论坛上发布消息称与另外两位黑客在2024年10月6日成功入侵了思科,并窃取了大量机密开发数据。
这次攻击的目标是思科的开发项目和相关文档。根据IntelBroker的帖子,窃取的数据包括Github和Gitlab上的项目代码、SonarQube分析结果、硬编码凭证、证书、客户源代码文件、思科机密文件、Jira工单、API令牌、AWS私有存储桶、Azure存储资源、私有与公共密钥、SSL证书等多种敏感信息。这些数据甚至还包括思科的高级产品开发文档和Docker镜像。
思科公司近日已确认,修复了DevHub网站的不当配置,称该泄露不会导致未来的安全漏洞。
回顾总结
源代码泄漏风险主要来自公司内部/第三方外包,其次源代码泄漏还来自像思科这样的源代码服务器在互联网上暴露被攻击。源代码是企业的核心资产,源代码的泄漏会让企业失去在开发创新产品方面的领先优势。因此,建立坚实高效全面的源代码防护体系,保护重要的企业核心资产,是许多科技型企业当前要尽快完成的“必修课”。
02保护方案
虎符开发安全空间以零信任架构为核心,以访问安全/应用安全为底盘,通过终端沙箱技术,文件和网络隔离技术,磁盘加密技术、网络安全接入技术等建立统一高效的源代码安全开发环境,保证企业源代码全生命周期安全。
- 在终端部署后,在安全开发空间运行Visual Studio、Android Studio、IDEA、MyEclipse、PyCharm等开发工具软件,保存文件保存到安全开发空间内的磁盘,进行落盘加密保护,用户无感。采用透明的整盘加密技术,获得很好的兼容性和稳定性。
- 所有的研发活动都在安全开发空间内进行,安全开发空间不能访问互联网,打通GIT/SVN等服务器的加密隧道,只有安全空间内程序授权过的用户才能访问核心代码和数据资产。
- 安全开发空间内可进行外设管控,支持配置特定程序读写特定外设,防止通过USB等外设导致数据泄漏。
- 研发人员研发活动在安全开发空间内进行,有外发文件的需求的时候,需要进行审批。并且研发人员所有操作行为都必须有可追溯的日志记录,一旦安全事件发生,可提供有力审计依据。
03用户收益
01安全开发空间让源代码更安全
虎符开发安全空间构建一个用户可理解的安全开发环境空间,在该空间中运行可信程序,有独立安全盘,有独立网络管控。数据一旦进入安全开发空间,便不能私自将数据发送出去和拷贝出去,实现“数据可用不可”拿目标。
02用户操作更方便
可支持钉钉/企业微信/飞书扫码一键登录,用户使用更加便捷。同时支持用户离线使用、零信任VPN远程接入等场景,在保障安全的同时,最大可能给用户提供方便。0
03效果好性价比高
构建一个统一安全开发空间,采用沙箱隔离技术,不影响开发效率。可复用终端计算资源,很好的帮助企业节约成本。同时,支持Windows、Linux、Mac平台,适应复杂的开发环境。
该方案已得到互联网行业,金融行业等多行业的认可并已成功实施,有效保护企业的源代码安全,夯实了企业核心竞争力,助力企业高质量发展。
04 关于虎符网络
虎符网络|零信任安全空间|零信任数据泄漏治理领导厂商
零信任架构为核心,以访问安全/应用安全为底盘,提供涵盖终端源代码防泄漏、终端文档图纸防泄漏、服务端数据防泄漏的一体化、端到端、面向实战的数据泄漏治理新防线方案。