來自GitHub的安全威脅應(yīng)該如何應(yīng)對

安全運營團隊通常都忙于處理惡意軟件、網(wǎng)絡(luò)釣魚和DDoS攻擊。但IT領(lǐng)域有塊地方卻是盡管有數(shù)據(jù)泄露、信譽損失、競爭優(yōu)勢喪失的風(fēng)險，很多安全運營團隊卻都沒有給予足夠監(jiān)管的。

GitHub是超級流行的源代碼管理平臺，公司和個人都在用GitHub存儲和管理源代碼，保持軟件開發(fā)項目平穩(wěn)進行。GitHub以其實用的功能和用戶友好的界面攀上了全球最大代碼倉庫的位置，如今其上托管著超過8000萬源代碼庫。Facebook、谷歌和微軟的部分重要軟件項目也用到了GitHub。

GitHub無疑是成功案例。為什么安全運營團隊需要多加注意呢？

這是因為，GitHub如此流行，公司研發(fā)團隊極有可能把一些項目也放到了GitHub上。但過去幾年的事實已經(jīng)證明，某些開發(fā)人員那漫不經(jīng)心的GitHub使用習(xí)慣會產(chǎn)生嚴(yán)重的安全風(fēng)險。即便開發(fā)人員遵循最佳實踐，用Fortify一類的源代碼分析工具檢查過提交源碼中是否存在安全漏洞，這些風(fēng)險依然存在。

漫不經(jīng)心的安全操作本身就足夠危險。而在黑客死死盯上這個管理松散的系統(tǒng)時，風(fēng)險就更大了。

為什么黑客會盯上GitHub

原因有很多：

1. 源代碼

存儲在GitHub上的軟件是很有價值的知識產(chǎn)權(quán)。將這些代碼復(fù)制下來有可能讓其他公司甚至民族國家快速研發(fā)出派生應(yīng)用，節(jié)省幾年甚至幾十年的研發(fā)時間，或者不付版權(quán)費就利用了別人的商業(yè)秘密。黑客還可以盜取源代碼轉(zhuǎn)賣到暗網(wǎng)。

2. 攻擊方法

源代碼可能為黑客提供攻擊生產(chǎn)環(huán)境中軟件的思路。盜取源代碼能賦予他們時間去研究和查找漏洞，比通過滲透要簡單得多。他們甚至可以在生產(chǎn)環(huán)境中運行代碼并嘗試攻擊，不斷精煉攻擊，提升攻擊速度、隱蔽性和有效性。

3. 登錄憑證

提交到GitHub上的代碼和支持文件有時候一不小心就包含了登錄其他服務(wù)的憑證，比如登錄AWS的。黑客獲取到這些代碼，也就獲得了相關(guān)服務(wù)的訪問權(quán)，有了盜取更多數(shù)據(jù)和中斷運營的機會。

4. 未授權(quán)訪問

開發(fā)人員通常都會有以個人郵箱賬戶登錄公司代碼庫的權(quán)限。這些賬戶就是漏洞，尤其是在開發(fā)人員離職后。另外，開發(fā)人員手里的權(quán)限往往還是公司所有代碼庫的，而不僅僅是自己負(fù)責(zé)的項目的，這就留下了巨大的攻擊界面。

5. 內(nèi)部人威脅

主動監(jiān)視的缺乏可使得惡意內(nèi)部人易于隱藏異常行為。某個開發(fā)人員訪問幾十個代碼庫就是內(nèi)部人威脅的征兆，而此類行為應(yīng)被檢測并標(biāo)記。

2016年Uber托管在GitHub上的源碼庫被滲透時，黑客收獲的贓物中有一部分就是登錄憑證。攻擊者不僅僅拿到了先進的知識產(chǎn)權(quán);還挖到了內(nèi)含700萬Uber司機和5000萬客戶個人信息的AWS憑證。這些個人數(shù)據(jù)中包括了姓名、地址、駕照等等信息。

二、應(yīng)對GitHub帶來的安全威脅

幸運的是，安全運營團隊可以采取一些實用措施來收緊公司GitHub代碼庫的安全。比如：

1. 清理登錄憑證

提醒開發(fā)人員留心自己的GitHub登錄憑證。項目的訪問權(quán)限只對參與項目的開發(fā)人員開放。當(dāng)開發(fā)人員脫離項目，憑證應(yīng)被撤銷。

2. 反復(fù)檢查代碼庫設(shè)置

GitHub背后的軟件——軟件版本控制程序Git，原本是用來管理Linux內(nèi)核開發(fā)的。無論Git還是GitHub，在開源項目中的應(yīng)用都很廣。一些開發(fā)人員，尤其是那些開源項目貢獻者，基本將所有GitHub代碼庫都當(dāng)成公共的，也不管項目是否真的開源。最好反復(fù)檢查一下公司的GitHub配置，確保項目訪問權(quán)是否超出了所需范圍。

3. 公開代碼中不混入秘密

提醒開發(fā)人員不要將登錄憑證和其他高度敏感的信息混入了代碼、GitHub項目介紹頁或其他外部人可以訪問的GitHub內(nèi)容。自Uber數(shù)據(jù)泄露事件之后，GitHub就敦促開發(fā)人員小心對待此事，但來自安全運營團隊的定期提醒永遠(yuǎn)不多余。

4. 監(jiān)測GitHub上的可疑行為

哪些行為是可疑的？代碼提交的激增、授權(quán)某人下載超大量源代碼、不正常位置的登錄、公司外部用戶的登錄或請求等等。

5. 收集GitHub日志

持續(xù)監(jiān)視GitHub的最佳方式，是收集公司代碼庫GitHub數(shù)據(jù)的日志。從現(xiàn)在開始收集也為時不晚。

6. 對GitHub行為做個基線安全評估

可以用工具分析GitHub日志中報告的行為，定義出正常行為的基線，讓未來的異常行為檢測更加容易。

7. 自動化GitHub日志監(jiān)視

你會想要持續(xù)監(jiān)視GitHub行為以確保公司源代碼安全，保證外部人沒有滲透你的代碼庫。寫腳本來自動化這一工作，或者找個預(yù)置了自動化的解決方案都可以。

軟件代碼是公司最有價值資產(chǎn)之一。將GitHub納入公司安全運營團隊常規(guī)威脅追捕工作不僅僅可以保護該有價值資產(chǎn)，還可以保住公司的信譽和競爭優(yōu)勢。

閱讀全文

微軟(107497) 微軟(107497)
谷歌(110578) 谷歌(110578)
Facebook(58497) Facebook(58497)
GitHub(18475) GitHub(18475)

2017年LTE網(wǎng)絡(luò)十億設(shè)備將面BYOD安全威脅

美國無線通信展超級移動周（CTIA Super Mobility Week）- 拉斯維加斯-2014年9月-自有移動設(shè)備辦公（BYOD）市場的快速發(fā)展，再加上4G網(wǎng)絡(luò)中小基站部署的爆炸性激增，正在產(chǎn)生一種全球市場都迫切需要應(yīng)對的IT安全性威脅。

2014-09-19 13:03:10

1173

2020全球網(wǎng)絡(luò)威脅全景報告

/threat-intelligence2020年將充滿風(fēng)險，每個企業(yè)都應(yīng)該在保護公司和客戶數(shù)據(jù)方面提前為數(shù)據(jù)安全做防護準(zhǔn)備?；ヂ?lián)網(wǎng)的發(fā)展，對網(wǎng)絡(luò)強國、數(shù)字中國、智慧社會、數(shù)字經(jīng)濟等國家戰(zhàn)略能夠發(fā)揮支撐和帶動作用，而信息安全

2020-02-17 17:39:12

安全工具全身掃描怎么解決潛在威脅？

全身掃描是一種常用的安全工具，可以幫助克服這些挑戰(zhàn)和解決潛在威脅。這種設(shè)備非常重要，被廣泛用在機場、火車站和***大樓中。它們對進出建筑物的人員進行掃描以查明是否藏有武器、爆炸物和其他違禁物品。

2019-08-01 08:02:02

安全電子事務(wù)協(xié)議的基本流程

的基本流程。本文通過對安全電子事務(wù)協(xié)議的基本流程進行介紹，分析如何應(yīng)對安全威脅。關(guān)鍵詞：安全電子事務(wù)；電子支付；電子商務(wù)Abstract：W ith the rapid growth

2009-10-10 14:39:20

【EMC家園】RFID應(yīng)用的安全與威脅！

和其它安全設(shè)備一樣，RFID設(shè)備的安全性并不完美。盡管RFID設(shè)備得到了廣泛的應(yīng)用，但其帶來的安全威脅需要我們在設(shè)備部署前解決。本文將主要介紹幾個RFID相關(guān)的安全問題。1.RFID偽造根據(jù)計算能力

2015-12-23 14:19:01

在物聯(lián)網(wǎng)設(shè)備面臨的多種安全威脅中，數(shù)據(jù)傳輸安全威脅和設(shè)備身份安全威脅有何本質(zhì)區(qū)別？

在物聯(lián)網(wǎng)設(shè)備面臨的多種安全威脅中，數(shù)據(jù)傳輸安全威脅和設(shè)備身份安全威脅有何本質(zhì)區(qū)別，實際應(yīng)用中哪一種更難防范？

2025-11-18 06:41:06

如何應(yīng)對WiFi帶來的安全風(fēng)險？有什么解決方法嗎？

如何應(yīng)對WiFi帶來的安全風(fēng)險？有什么解決方法嗎？

2021-05-24 06:37:23

如何應(yīng)對歐盟玩具安全新指令的措施

歐盟玩具安全新指令的措施實施后，相關(guān)企業(yè)應(yīng)何應(yīng)對呢？北測檢測作為第三方權(quán)威檢測機構(gòu)，建議相關(guān)企業(yè)積極應(yīng)對歐盟玩具安全新指令的措施，盡量做到以下幾點：　　1.加快了解國際玩具標(biāo)準(zhǔn)體系。玩具制造商需要

2016-01-18 11:22:01

對高級持久性威脅（APT）有什么應(yīng)對措施？

高級持久性威脅（APT）的特點是什么？對高級持久性威脅（APT）有什么應(yīng)對措施？

2021-05-24 06:40:53

嵌入式設(shè)備安全的關(guān)鍵是什么

嵌入式系統(tǒng)面臨著前所未有的安全威脅，而這些威脅的危害性也越來越高。沒有設(shè)備是百分百安全的，但是通過仔細(xì)分析危害，找出潛在的漏洞并清晰明細(xì)的記錄過程就可以很大程度地提高安全性。本文介紹了微軟用來在其產(chǎn)品中確定威脅的流程-威脅模型。

2019-07-30 06:06:18

開發(fā)人員和嵌入式系統(tǒng)設(shè)計人員如何使用JWT關(guān)閉物聯(lián)網(wǎng)設(shè)備的安全漏洞？

本文將介紹物聯(lián)網(wǎng)設(shè)備安全威脅，并介紹目前用于應(yīng)對該威脅的設(shè)備。它將確定安全漏洞以及開發(fā)人員和嵌入式系統(tǒng)設(shè)計人員如何使用JWT關(guān)閉它們。

2021-06-16 06:17:24

新一代FPGA該如何應(yīng)對網(wǎng)絡(luò)威脅？

嵌入式系統(tǒng)設(shè)計人員有了新的網(wǎng)絡(luò)安全武器，可以保證信息安全、防止篡改和建立可信任的系統(tǒng)。

2019-10-11 07:15:27

淺析PSA平臺安全架構(gòu)

，我們需要能夠應(yīng)對這些威脅并且適用于各種成本點的設(shè)備安全。平臺安全架構(gòu)（PSA）的使命就是克服這一挑戰(zhàn)。它能夠服務(wù)于任何設(shè)計合理的 Arm 處理器，包括低成本微控制器。

2019-07-25 07:27:51

消除汽車應(yīng)用中的ESD威脅

器件需要應(yīng)對有人有意或無意用電池線短接這些接口的情況。因此，如果在ESD威脅以外，接口還要承受這種電池短路狀況，主要用于消費級電子器件的5V常規(guī)擊穿ESD器件就不合適了。安森美半導(dǎo)體開發(fā)的車規(guī)級ESD

2018-10-25 08:49:49

物聯(lián)網(wǎng)時代，嵌入式工程師這樣應(yīng)對安全挑戰(zhàn)！

的是，如若工程師花些時間遵循一些基本準(zhǔn)則就會發(fā)現(xiàn)，包括半導(dǎo)體公司和分銷商在內(nèi)的供應(yīng)商目前都在提供相關(guān)的技術(shù)及支持，協(xié)助開發(fā)出更具安全性的物聯(lián)網(wǎng)產(chǎn)品。風(fēng)險與威脅近期在芝加哥召開的一次會議上，來自恩智浦

2017-06-05 17:24:41

知語云全景監(jiān)測技術(shù)：現(xiàn)代安全防護的全面解決方案

技術(shù)能夠精準(zhǔn)判斷安全威脅的來源和意圖，為企業(yè)和個人提供及時、準(zhǔn)確的安全預(yù)警。主動防御，有效應(yīng)對：在發(fā)現(xiàn)安全威脅后，知語云全景監(jiān)測技術(shù)能夠迅速啟動主動防御機制，通過隔離、阻斷等方式，有效防止安全威脅

2024-02-23 16:40:21

知語云智能科技揭秘：無人機威脅如何破解？國家安全新防線！

隨著科技的飛速發(fā)展，無人機技術(shù)已經(jīng)深入到各個領(lǐng)域，給我們的生活帶來了極大的便利。然而，與此同時，無人機也帶來了潛在的安全威脅。知語云智能科技作為國內(nèi)領(lǐng)先的智能科技公司，一直致力于研究無人機威脅的破解

2024-02-27 10:41:24

知語云智能科技無人機防御系統(tǒng)：應(yīng)對新興威脅的先鋒力量

隨著科技的飛速發(fā)展，無人機技術(shù)在各個領(lǐng)域的應(yīng)用日益廣泛，但隨之而來的是無人機威脅的不斷升級。為了有效應(yīng)對這些新興威脅，知語云智能科技推出了先進的無人機防御系統(tǒng)，為空中安全保駕護航。無人機防御系統(tǒng)

2024-02-26 16:35:59

[1.5.1]--信息安全的威脅

信息安全工業(yè)信息安全

jf_75936199發(fā)布于 2023-02-05 19:22:14