據(jù)外媒報道，上周包括微軟、Adobe、AMD、任天堂、華為海思、聯(lián)想在內(nèi)、橫跨不同領(lǐng)域的50多家全球知名企業(yè)的源代碼遭到泄露，且源代碼遭泄露企業(yè)的名單還在不斷增加中。

雖然很多遭泄露的源代碼已由其原始開發(fā)人員公開發(fā)布，或在很久以前進行了最后更新，且Kottmann也應(yīng)部分企業(yè)的要求刪除了代碼，但仍有部分源代碼存在硬編碼憑證，能夠被不法分子用來創(chuàng)建后門程序，從而發(fā)動更加強大的惡意攻擊。

不少安全專家將此次事件定義為有史以來最大范圍的一次源代碼泄露事件，并表示：“在互聯(lián)網(wǎng)上失去對源代碼的控制，就像把銀行的設(shè)計圖交給搶劫犯一樣。”

象征“產(chǎn)品生命線”的源代碼，為何被泄露？

源代碼指的是編寫的最原始程序的代碼，主要對象是面向開發(fā)者。而人們平常使用的應(yīng)用程序都是經(jīng)過源碼編譯打包以后發(fā)布呈現(xiàn)的。

對于一家企業(yè)來說，旗下產(chǎn)品的源代碼就相當(dāng)于產(chǎn)品的生命線。如果產(chǎn)品的源代碼被其他開發(fā)者所掌握，除了能將產(chǎn)品完美“復(fù)刻”外，還可以通過閱讀源代碼的方式找到程序中存在的漏洞從而發(fā)起攻擊。所以每當(dāng)有源代碼被公開，都將為企業(yè)帶來巨大的損失。盡管開發(fā)團隊還在加緊排查此次源代碼外泄的主要原因，但有技術(shù)人員指出，目前有不少企業(yè)所使用的DevOps工具中存在配置錯誤、配置不當(dāng)?shù)那闆r，會導(dǎo)致源代碼或其他重要數(shù)據(jù)泄露。

作為一款云原生、API所驅(qū)動的開發(fā)工具，DevOps憑借高效、便捷、可靠等優(yōu)勢，被云上企業(yè)廣泛應(yīng)用于業(yè)務(wù)開發(fā)和部署的過程中。但由于企業(yè)缺乏對異常API調(diào)用、SecretKey泄漏等云原生安全問題的檢測手段，加上研發(fā)人員不當(dāng)配置的因素，導(dǎo)致企業(yè)的源代碼面臨泄露的風(fēng)險。

今年年初，某母嬰零售企業(yè)的研發(fā)人員為方便開發(fā)，把代碼上傳到開源代碼庫-GitHub進行托管，其中有部分代碼包含了公有云對象存儲桶的域名。但因為安全配置不當(dāng)，該存儲桶開放了公有的讀寫權(quán)限，留下了安全隱患。

不法黑客爬取了這段代碼和域名，并通過域名輕松訪問了該存儲桶。不巧的是，存儲桶內(nèi)還保存了公有云上數(shù)據(jù)庫的外網(wǎng)訪問域名以及端口。同時由于該企業(yè)的云數(shù)據(jù)庫安全配置不當(dāng)，導(dǎo)致端口直接暴露在互聯(lián)網(wǎng)上，不法分子隨即對數(shù)據(jù)庫進行爆破攻擊，不費吹灰之力就獲得了該企業(yè)的大量數(shù)據(jù)和源代碼，給企業(yè)和消費者都造成了嚴重的損失

隨著產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展的步伐逐步加快，將有越來越多的企業(yè)在將業(yè)務(wù)和數(shù)據(jù)遷徙至云上的同時，將業(yè)務(wù)的開發(fā)工具切換成云原生的DevOps，以保證云上業(yè)務(wù)的開發(fā)效率并進一步實現(xiàn)自身數(shù)字化轉(zhuǎn)型的目標(biāo)。但如果缺乏對于云原生安全問題的檢測和應(yīng)對手段，企業(yè)就可能因遭到惡意攻擊，導(dǎo)致核心數(shù)據(jù)和源代碼被竊取的嚴重后果。

不當(dāng)云配置成為導(dǎo)致，云上安全事件發(fā)生的主要原因

騰訊安全在7月舉辦的“產(chǎn)業(yè)安全公開課·云原生專場”中，騰訊安全高級工程師耿琛在直播中分享了自己的觀點：實際上安全配置風(fēng)險是導(dǎo)致云上安全事件發(fā)生的主要原因，也是云上企業(yè)最容易忽略的安全問題。

數(shù)據(jù)顯示，大概有42%的云基礎(chǔ)設(shè)施存在配置風(fēng)險，76%的云上企業(yè)暴露22端口。“如果企業(yè)的22端口暴露在外，且存在弱口令的話，黑客就能夠很輕易的攻陷企業(yè)的云上設(shè)施。” 耿琛表示。

除了需要關(guān)注木馬、漏洞等傳統(tǒng)安全威脅外，云上企業(yè)還需要具備針對異常API調(diào)用、SecretKey泄露等云原生安全問題的檢測能力和手段。耿琛指出，現(xiàn)階段黑客組織在攻擊云上業(yè)務(wù)和系統(tǒng)的時候，會嘗試在GitHub這類開源，對平臺上泄露的密鑰進行抓取。如果企業(yè)的API密鑰泄露，那么其云上系統(tǒng)將毫無安全可言。

構(gòu)建云原生安全體系，或是破局之道

盡管本次源代碼大規(guī)模泄露的真正原因還在排查中，源代碼泄露最終會對哪家企業(yè)造成何種程度的損失我們也無從得知。但本次事件仍為所有云上企業(yè)敲響了警鐘，不當(dāng)云配置和缺乏針對云原生安全問題檢測手段，會成為源代碼或其他核心數(shù)據(jù)泄露的直接原因。

隨著我國企業(yè)數(shù)字化轉(zhuǎn)型進程的不斷加速，未來將會有更多企業(yè)遷移至云上，但傳統(tǒng)安全體系不僅無法適應(yīng)云上環(huán)境，更缺乏對云原生安全問題的應(yīng)對手段。對此，耿琛建議企業(yè)應(yīng)該以云原生的思路構(gòu)建云的安全體系來應(yīng)對云環(huán)境中的安全問題，而不是簡單的將傳統(tǒng)安全體系搬到云上。

“依照我們的實踐經(jīng)驗，構(gòu)建云原生安全運營體系需要云原生為中心，以安全左移、數(shù)據(jù)驅(qū)動及自動化為基本支撐。”耿琛表示，企業(yè)如果想要避免因不當(dāng)云配置或云原生安全問題造成損失，最重要的就是安全左移和自動化這兩點。

安全左移，指的是云原生安全運營體系首先應(yīng)該具備事前感知安全威脅和配置風(fēng)險檢查能力，以構(gòu)建安全預(yù)防體系的方式提升整體安全水平；而自動化則要求云原生安全運營體系需要具備對云原生安全問題自動檢測、響應(yīng)和處置的能力。

但是對于中小型企業(yè)來說，自行搭建云原生安全運營體系的難度較大，可以使用市面上較為成熟的安全產(chǎn)品。例如騰訊安全運營中心就可以通過自動化配置檢查功能對云上配置風(fēng)險進行自動化識別和評估，幫助企業(yè)杜絕不當(dāng)云配置所帶來的安全隱患。

此外，針對SecretKey泄露及異常API調(diào)用等云原生安全問題，騰訊安全運營中心中集成的Cloud UBA架構(gòu)和泄露監(jiān)測模塊，會保持對用戶異常行為和網(wǎng)絡(luò)黑市的檢測，減少因密鑰泄露而導(dǎo)致的安全事故。