史上最大范围的源代码泄露，微软、高通、华为海思等50家科技公司均在列

“在互联网上失去对源代码的控制，就像把银行的设计图交给抢劫犯一样。”

据外媒报道称，由于技术设施配置操作错误，微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等50家公司的源代码被泄露在网上。

可以说，这是有史以来最大范围的一次源代码泄露。

使用错误的Devops工具暴露了代码

据外媒 Bleeping Computer 报道，相关漏洞是由瑞士软件开发人员兼逆向工程师 Tillie Kottmann 收集完成，除了现成来源之外，他通过各种现有的第三方来源以及从配置错误的 DevOps 应用程序中积累了大量的源代码。并将这些信息以“exconfidential” （绝密），以及“Confidential & Proprietary”（保密&专有）的名称发布在任何人都可以访问的GitLab公开存储库中。

根据安全研究人员 Bank Security 提供的信息，该存储库中大约包含了超过 50 家公司的源码。但有一些文件夹是空的，还有一些存在硬编码凭证——一种创建后门的方式。

目前，Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG，梅赛德斯-奔驰的母公司；联想的文件夹也已经空空如也。针对有移除代码要求的公司，Kottmann表示愿意遵守，并乐意提供信息，“帮助公司增强基础架构的安全性”。

事实上，从收到的 DMCA 通知数量(估计至多 7 份)和法律代表等的联系来看，许多公司仍对代码泄露事件不知情。另有部分公司没有撤除代码的意思。某家公司的开发人员只是简单表示自己很好奇，想知道 Kottmann 是怎么做到的，而且觉得整件事“非常有趣”。

此外，Kottmann在 Twitter 上放出了部分源代码截图。

Kottmann 认为，目前成千上万的企业由于未能正确保护 SonarQube 而导致专有代码面临着外泄的风险。

在 Telegram 频道中，这位开发人员提供了关于其他安全漏洞的更多详细信息，其中还涉及在网上被称为“Gigaleak”的任天堂外泄代码。此次任天堂源代码泄露，尤其受到游戏行业的关注。

银行安全（Bank Security）在 Pastebin 上发布了受影响公司的完整列表。

附源代码泄露完整受害者名单（Source Code Leakage Full victims list）：

Johnson Controls（江森自控）

iLendx （联想）

Banca Nazionale del Lavoro

Lenovo-smart-display-7

Adobe

Fastspring

GE Appliances（GE电器）

Mercury TFS

GovCloudRecords

MyDesktop

eMasurematics

Buckzy

TeamApt

Alpha FX

Covid Apps

Romeo Power

Digital Health Department

DRO Health

Elgin Industries

Berkeley Lights

Pwnee Studios

NYNJA

Tapway

BlocPower

Capital Technology Services

Lenovo（联想）

AMI

insyde

Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/

KaiOS

AMD

Chenyee / Gionee

Disney（迪士尼）

Mineplex

Daimler

Rockchip

HiSilicon（海思）

Aukey

Chunmi

Xiaomi's Kitchen Appliance Subsidiary

PUKKA

Roblox Corporation

Microsoft（微软）

Motorola（摩托罗拉）

Qualcomm（高通）

Mediatek（联发科）

Bahwan CyberTek

CryptoSoul

gms

ReactMobile

ЦЭККМП

Tactical Electronics

Siasun

小结

Github网站虽是全球最大的代码分享社区，然而却经常发生一些信息泄露事件。

去年，大疆前员工将含有公司商业机密的代码上传到了 GitHub 的公有仓库中，造成源代码泄露，深圳法院以侵犯商业秘密罪判处大疆前员工有期徒刑六个月，并处罚金20万人民币。而这些泄露出去的代码，已用于该公司农业无人机产品，具有实用性。尽管大疆公司采取了合理的保密措施，但该次事件依然给大疆造成经济损失116.4万元人民币。

除此之外，去年4月，B 站整个网站后台工程源码泄露，致使当日 B站股价下跌 3.27%。

一名为“openbilibili”的用户在Github上创建“go-common”代码库，其中包含大量B站用户密码。

源代码泄露一事频频发生，安全专家 Jake Moore表示：“在互联网上失去对源代码的控制，就像把银行的设计图交给抢劫犯一样。”

而来自网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚•科洛琴科(Ilia Kolochenko)观点相左：“从技术角度来看，泄密没什么大不了。经检查，大多数源代码都是一文不值的，除非您有其他一些技术。

此外，源代码在没有日常支持和改进的情况下会迅速贬值。因此，不择手段的竞争对手不可能获得很大的价值，除非他们只专注某款非常具体的软件。”

尽管如此，这样大规模的泄露事件原因还是值得深究的。每一次源代码被公开，伴随着的都是巨大的损失。

毕竟，一旦被泄露者利用，造成的损失可大可小。

对此，你有什么看法？

近期我爱方案网上架了多款热销产品方案，已经量产且稳定投放市场，包括核心板和整套解决方案等产品形式。方案即买即用，可帮助缩短研发周期，节约开发成本！

智慧太阳能路灯方案（点击查看详情）

智慧太阳能路灯由太阳能电池板、太阳能控制器、太阳能蓄电池、灯杆、灯源、附件六大组件组装而成。可接入控制器的设备进行数据采集，实时通过无线获取数据，并能精准计算，记录生成报表，方便统计费用。

相对于其他普通路灯，维修保养费用更低；并且，它可以根据电池所剩电量，自动调节负载功率，避免因电池电量不足导致的无法亮灯的现象。

此智慧太阳能路灯具有主研发模组和大数据技术管理相关数据拥有多项专利和软件著作权，是成熟可量产的方案，目前已完成第一期10万套的开发，正进入二期研发阶段，客户来自四家物联网公司。

360全景主板（点击查看详情）

该方案的主系统为360度全景影像系统。通过安装在两个车牌与两个后视镜的4个超广角摄像头，同时采集车辆四周的影像，经过专有的“实时图像畸变还原对接技术”等处理，最终形成一幅无缝完整的车周全景鸟瞰图。

该系统不但可以显示全景图，还可同时显示任一方向的单视图，驾驶员能够准确读出障碍物的位置和距离，扫清车辆视线盲区。

可扫二维码添加包工头微信询价订货。

如果你需要其他解决方案，可点击下载《100个成功案例Ⅲ》，查看其他方案>>

本文综合整理自腾讯新闻、凤凰网等