據(jù)悉，由于不安全的 DevOps 應(yīng)用程序?qū)е鹿緦?zhuān)有信息暴露，包括微軟、Adobe、聯(lián)想、AMD、高通、海思、聯(lián)發(fā)科等 50 多家科技公司源代碼泄露。

據(jù)了解，這些遭泄露的源碼被發(fā)布在 GitLab 上一個(gè)公開(kāi)存儲(chǔ)庫(kù)中，并被標(biāo)記為 “exconfidential” （絕密），以及 “Confidential & Proprietary”（保密&專(zhuān)有），任何人都可以訪問(wèn)。

根據(jù)安全研究人員 Bank Security 提供的信息，該存儲(chǔ)庫(kù)中大約包含了超過(guò) 50 家公司的源碼。但有一些文件夾是空的，還有一些存在硬編碼憑證。（一種創(chuàng)建后門(mén)的方式。）

此外，開(kāi)發(fā)人員 Tillie Kottmann 提到，一些代碼庫(kù)中確實(shí)存在硬編碼憑證，他在發(fā)布前已盡可能地將其刪除，“以避免造成直接傷害或是助長(zhǎng)更大的破壞”。另外，他也坦承自己并未在發(fā)布前與每一家受影響的公司進(jìn)行聯(lián)系，但他們確保自己“盡了最大的努力將負(fù)面影響最小化”。

Kottmann 的 Twitter 賬戶(hù)簡(jiǎn)介寫(xiě)道，“這里可能正在泄露您的源代碼?！痹撡~戶(hù)的置頂推文是一條眾包帖，問(wèn)道“您認(rèn)為機(jī)密信息、文檔、二進(jìn)制文件和源代碼，哪一種最應(yīng)該向公眾公開(kāi)……”

對(duì)于上述事件，不少安全專(zhuān)家表示，“在互聯(lián)網(wǎng)上失去對(duì)源代碼的控制，就像把銀行的設(shè)計(jì)圖交給搶劫犯一樣?！?/p>

目前，Kottmann 已應(yīng)部分企業(yè)的要求刪除了代碼。例如 Daimler AG，梅賽德斯 - 奔馳的母公司；聯(lián)想的文件夾也已經(jīng)空空如也。針對(duì)有移除代碼要求的公司，Kottmann 表示愿意遵守，并樂(lè)意提供信息，“幫助公司增強(qiáng)基礎(chǔ)架構(gòu)的安全性”。

而關(guān)于源代碼泄露的原因，開(kāi)發(fā)團(tuán)隊(duì)也在繼續(xù)尋找原因。Kottmann 稱(chēng)，他們?cè)噲D在發(fā)布硬編碼憑證之前從公司的源代碼中刪除這些硬編碼憑證，這些憑證通常用于創(chuàng)建后門(mén)程序，以免發(fā)生更加強(qiáng)大的安全漏洞。

回顧在 Kottmann 的 GitLab 服務(wù)器上泄漏的一些代碼，可以發(fā)現(xiàn)某些項(xiàng)目已由其原始開(kāi)發(fā)人員公開(kāi)發(fā)布，或者在很久以前進(jìn)行了最后更新。

不過(guò)，開(kāi)發(fā)人員表示，有更多公司使用錯(cuò)誤的 Devops 工具配置了暴露源代碼的公司。此外，他們正在探索運(yùn)行 SonarQube 的服務(wù)器，SonarQube 是一個(gè)開(kāi)源平臺(tái)，用于自動(dòng)代碼審核和靜態(tài)分析，以發(fā)現(xiàn)錯(cuò)誤和安全漏洞。

Kottmann 認(rèn)為，有成千上萬(wàn)的公司由于未能正確保護(hù) SonarQube 安裝而暴露了專(zhuān)有代碼。

不過(guò)，網(wǎng)絡(luò)安全公司 ImmuniWeb 的創(chuàng)始人兼首席執(zhí)行官 Ilia Kolochenko 指出，“從技術(shù)角度來(lái)看，這次的泄露并不算很?chē)?yán)重……若沒(méi)有每天的支持和改進(jìn)，源代碼也會(huì)迅速貶值”。

已知受影響的公司如下：

Johnson Controls（江森自控）

iLendx

Banca Nazionale del Lavoro（意大利國(guó)家勞工銀行）

Lenovo-smart-display-7

Adobe

Fastspring

GE Appliances

Mercury TFS

GovCloudRecords

MyDesktop

eMasurematics

Buckzy

TeamApt

Alpha FX

Covid Apps

Romeo Power

Digital Health Department

DRO Health

Elgin Industries

Berkeley Lights

Pwnee Studios

NYNJA

Tapway

BlocPower

Capital Technology Services

Lenovo

AMI

insyde

Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/

KaiOS

AMD

Chenyee / Gionee

Disney

Mineplex

Daimler

Rockchip

HiSilicon（海思）

Aukey

Chunmi

Xiaomi's Kitchen Appliance Subsidiary（小米）

PUKKA

Roblox Corporation

Microsoft（微軟）

Motorola（摩托羅拉）

Qualcomm（高通）

Mediatek（聯(lián)發(fā)科）

Bahwan CyberTek

CryptoSoul

gms

ReactMobile

ЦЭККМП

Tactical Electronics

Siasun