亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

近年來,代碼泄露之風(fēng),甚囂塵上。

據(jù)BleepingComputer報道,美國網(wǎng)絡(luò)安全公司Rapid7披露遭遇了Codecov供應(yīng)鏈攻擊,部分源代碼存儲庫在網(wǎng)絡(luò)攻擊事件中泄漏。

《糖豆人:終極淘汰賽》在最近的一次更新中將源代碼文件也發(fā)了出來……

近期,字節(jié)跳動因為多款軟件涉及代碼抄襲被美攝科技正式起訴,要求賠償人民幣高達(dá)22.74億元。再一次把代碼泄露推上風(fēng)口浪尖。

代碼泄露,頻頻發(fā)生、防不勝防……

那么,代碼泄露為什么會如此高頻地發(fā)生?

業(yè)內(nèi)周知,在信息安全體系中,最薄弱環(huán)節(jié)是終端安全防護(hù)。目前,終端安全防護(hù)的技術(shù)手段極為有限,終端存在諸多安全隱患,其中最大的問題是終端普遍存在數(shù)據(jù)泄露風(fēng)險。

據(jù)資料顯示,近些年來,在所有的的泄密事件中,大部分是“內(nèi)部泄密”,而不是“外部竊密”。據(jù)統(tǒng)計,80%以上的信息泄露事件是由內(nèi)部員工數(shù)據(jù)泄露導(dǎo)致的。

代碼泄漏其實是伴隨計算機(jī)編程出現(xiàn)的問題,目前整個行業(yè)基本大都是通過GIT或SVN等進(jìn)行代碼管理,而項目組的每個開發(fā)人員都能夠下載全部代碼,這就給整個項目代碼泄漏造成很大隱患。

一旦代碼泄漏就很容易復(fù)制出一個相同的程序,或通過閱讀源代碼找到程序的漏洞進(jìn)行任意攻擊。代碼泄露給公司帶來的損失是很大的,不但會帶來經(jīng)濟(jì)損失,還會帶來名譽(yù)損失,甚至引起法律糾紛。

所以,對于科技團(tuán)隊而言,防止源代碼外泄至關(guān)重要。目前,市面上傳統(tǒng)的做法有三:

第一,設(shè)備防止。比如說可以采用虛擬桌面,讓代碼只能存儲在服務(wù)器端。比如說禁止外設(shè)(USB,串口)訪問工作電腦。比如說禁止帶手機(jī),相機(jī)等拍照工具進(jìn)入研發(fā)室。比如說禁止工作電腦連接互聯(lián)網(wǎng),限制性連接內(nèi)網(wǎng);

第二,法律保障。和員工簽訂競業(yè)協(xié)業(yè),保密協(xié)議。重罰并追求泄密員工或前員工的法律責(zé)任,并且當(dāng)作案例宣傳,教育員工;

第三,人心保證。通過薪資待遇,言談教育來指引,員工才不會泄密,更是主動在保密上做好功夫。

可以看到,傳統(tǒng)的解決方案都圍繞著“人”,沒有從根本上解決問題,治標(biāo)不治本。業(yè)內(nèi)人士分析認(rèn)為,如果有一個有效的工具能將代碼管理制度自動落實到位,而不是依靠對“人”的制約,這一痛點方能真正解決。

而近期國內(nèi)發(fā)布的一款軟件工程平臺,則可從根本上解決這一全球性的行業(yè)難題。新一代java開發(fā)工具——飛算SoFlu全自動軟件工程平臺,率先提出軟件工程行業(yè)的作業(yè)方式從“人治”變成“法治”,以解決軟件工程全生命周期的問題。在防止代碼泄露方面,其通過“無代碼的微服務(wù)開發(fā)、靈活且細(xì)粒度項目權(quán)限管理、日志審計功能”給出解決方案:

無代碼的微服務(wù)開發(fā)方面,微服務(wù)的業(yè)務(wù)邏輯全面可視化開發(fā),開發(fā)人員不需要編寫源代碼,自然沒有代碼泄漏的風(fēng)險。

靈活且細(xì)粒度項目權(quán)限管理方面,團(tuán)隊協(xié)作中,不同的項目成員角色被賦予不同的訪問權(quán)限,精細(xì)化管控項目模塊的權(quán)限,實施最小化權(quán)限管理。

日志審計功能方面,平臺上所有的操作都有操作日志記錄,對于可能的越權(quán)訪問能及時發(fā)現(xiàn),并能夠追溯。

對于飛算SoFlu全自動軟件工程平臺,中國工程院院士倪光南評價道: “針對軟件行業(yè)的痛點,非常高興地看到飛算全自動軟件工程平臺提出了很好的解決方案,希望你們能夠在實踐中不斷發(fā)展,為解決軟件工程的這些痛點作出貢獻(xiàn),如果能通過實踐的驗證,那么對于軟件行業(yè)的發(fā)展將很有意義。”