企業如何防止代碼泄露?飛算全自動軟件工程平臺給出最佳答案
近年來,代碼泄露之風,甚囂塵上。
據BleepingComputer報道,美國網絡安全公司Rapid7披露遭遇了Codecov供應鏈攻擊,部分源代碼存儲庫在網絡攻擊事件中泄漏。
《糖豆人:終極淘汰賽》在最近的一次更新中將源代碼文件也發了出來……
代碼泄露,頻頻發生、防不勝防……
那麼,代碼泄露爲什麼會如此高頻地發生?
業內周知,在信息安全體系中,最薄弱環節是終端安全防護。目前,終端安全防護的技術手段極爲有限,終端存在諸多安全隱患,其中最大的問題是終端普遍存在數據泄露風險。
據資料顯示,近些年來,在所有的的泄密事件中,大部分是“內部泄密”,而不是“外部竊密”。據統計,80%以上的信息泄露事件是由內部員工數據泄露導致的。
代碼泄漏其實是伴隨計算機編程出現的問題,目前整個行業基本大都是通過GIT或SVN等進行代碼管理,而項目組的每個開發人員都能夠下載全部代碼,這就給整個項目代碼泄漏造成很大隱患。
一旦代碼泄漏就很容易複製出一個相同的程序,或通過閱讀源代碼找到程序的漏洞進行任意攻擊。代碼泄露給公司帶來的損失是很大的,不但會帶來經濟損失,還會帶來名譽損失,甚至引起法律糾紛。
所以,對於科技團隊而言,防止源代碼外泄至關重要。目前,市面上傳統的做法有三:
第一,設備防止。比如說可以採用虛擬桌面,讓代碼只能存儲在服務器端。比如說禁止外設(USB,串口)訪問工作電腦。比如說禁止帶手機,相機等拍照工具進入研發室。比如說禁止工作電腦連接互聯網,限制性連接內網;
第二,法律保障。和員工簽訂競業協業,保密協議。重罰並追求泄密員工或前員工的法律責任,並且當作案例宣傳,教育員工;
第三,人心保證。通過薪資待遇,言談教育來指引,員工纔不會泄密,更是主動在保密上做好功夫。
可以看到,傳統的解決方案都圍繞着“人”,沒有從根本上解決問題,治標不治本。業內人士分析認爲,如果有一個有效的工具能將代碼管理制度自動落實到位,而不是依靠對“人”的制約,這一痛點方能真正解決。
而近期國內發佈的一款軟件工程平臺,則可從根本上解決這一全球性的行業難題。新一代java開發工具——飛算SoFlu全自動軟件工程平臺,率先提出軟件工程行業的作業方式從“人治”變成“法治”,以解決軟件工程全生命週期的問題。在防止代碼泄露方面,其通過“無代碼的微服務開發、靈活且細粒度項目權限管理、日誌審計功能”給出解決方案:
無代碼的微服務開發方面,微服務的業務邏輯全面可視化開發,開發人員不需要編寫源代碼,自然沒有代碼泄漏的風險。
靈活且細粒度項目權限管理方面,團隊協作中,不同的項目成員角色被賦予不同的訪問權限,精細化管控項目模塊的權限,實施最小化權限管理。
日誌審計功能方面,平臺上所有的操作都有操作日誌記錄,對於可能的越權訪問能及時發現,並能夠追溯。
對於飛算SoFlu全自動軟件工程平臺,中國工程院院士倪光南評價道: “針對軟件行業的痛點,非常高興地看到飛算全自動軟件工程平臺提出了很好的解決方案,希望你們能夠在實踐中不斷髮展,爲解決軟件工程的這些痛點作出貢獻,如果能通過實踐的驗證,那麼對於軟件行業的發展將很有意義。”