据美国科技媒体 BleepingComputer 报道，由于不安全的 DevOps 应用程序，导致微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等 50 家科技公司的源代码都遭到泄露，并被发布在 GitLab 上一个公开存储库中。

一位名为蒂莉 · 科特曼（Tillie Kottmann）的开发人员收集到了上述泄露，这些泄漏来源广泛。在 GitLab 上的公共存储库中，可以找到大量此类泄漏，这些泄漏的标签多为 “机密”“机密和专有” 等。

科特曼表示，他在一个很容易访问的代码存储库中，找到了硬编码的凭据，他正在努力将其删除，以免造成更大的破坏。科特曼还表示，其将遵守移除要求、并乐意提供可增强公司基础架构安全性的信息。

另据专注于****业威胁和欺诈的研究机构 Bank Security 称，存储库中发布了来自 50 多家公司的代码。

目前，许多当事公司可能并不了解泄漏情况。一些已经注意到其源码泄露的企业，并不会费心将其删除。比如，其中一家公司的几名开发人员，只是想知道科特曼是如何获得代码的，并没有对他提出删除代码的要求。

就本次泄露来说，主要是因为许多公司使用错误的 DevOps 工具去配置代码。目前，已有相关人士正在探索运行 SonarQube 服务器，SonarQube 是一个开放源代码平台，可用于自动代码审核和静态分析，以发现错误和安全漏洞。

有人担心泄漏的代码，会被用于邪恶的目的。一位安全专家告诉外媒 Tom's Guide，失去对互联网源代码的控制，就像是将****的蓝图交给抢劫犯一样。这份清单将被网络犯罪分子广泛地查看，以在极短的时间内寻找漏洞以及机密信息。因此，他建议，那些受影响的网站需要立马采取进一步的保护措施，以避免遭受到恶意攻击。

但是，似乎并非所有站点都已经意识到事情的严重性，如果进一步的恶果被用户先于公司发现，那这无异是伤口撒盐。

但也有专家持有不同意见。来自瑞士的网络安全公司 ImmuniWeb 创始人兼 CEO 伊利亚 · 科洛琴科（Ilia Kolochenko）表示：“从技术角度来看，这些泄漏并不是那么严重。他认为，除非拥有其他技术，否则大多数源代码都是毫无价值的。而且，没有持续的改进，源代码会迅速贬值。因此，不道德的竞争者除非寻求非常具体的软件，否则将不太可能获得太多价值。

专栏文章内容及配图由作者撰写发布，仅供工程师学习之用，如有侵权或者其他违规问题，请联系本站处理。 联系我们