一个很大的教训,我们所学到的是在过去的十年里,即使是小块的异类数据后,聚集在一个地方,可以产生惊人的事实。与Facebook,教训结晶与2013年图搜索功能的引入,当网络世界意识到-它的恐怖——功能可以用来发现尴尬的细节藏在眼皮底下,或利用他们的社交图笑(“犹太人的母亲喜欢熏肉”是一个经常被引用的脸谱图搜索)。图搜索驳回了“非常严肃的、令人毛骨悚然的,注定会失望。”But, in one form or another, it's with us still.
这些天,它不仅仅是我们的个人生活,把我们的蹂躏公开搜索蜘蛛和谷歌杜金鸡。日益流行的共享代码库和GitHub一样,世界上所有的源代码突然变得聪明,好奇的素材。称之为“GitHub杜金鸡。”
考虑最近的这些页面文章指出弦的患病率在GitHub库“丑陋的攻击”。ITworld的菲尔-约翰逊,这篇文章指出,引用“丑陋的黑客”一词更常见的用C语言编写的源代码存储库比其他任何编程语言,以很大的优势。消息:C代码是国王当谈到“脏代码修复。”
一个不言而喻的推论是,GitHub胜一个方便和容易跟随路径混乱的例子,可能是脆弱的代码在一个广泛的应用程序——其中许多模糊的没有价值,他们中的一些人没有。
与Facebook图搜索示例中,一些事情在我们到达之前发生的故事被写过时髦和揭示GitHub搜索。第一:GitHub托管源代码存储库,必须让巨大的。在七年推出以来,它确实做到了,增长从2008年的6000个用户和2500存储库现在940万人合作在2250万个存储库今天。
另一个关键组件是GitHub的内部搜索功能在2013年,这使它简单的运行查询在公共和私人GitHub库,给定用户访问权。几乎立刻,精明的观察家指出,该特性可以用来揭示私人密钥和登录凭证埋在代码检入到GitHub。
尽管有这些警告,有充分的证据表明,继续练习。今年3月,例如,骑分享公司超级被发现不小心上传数据库证书到GitHub库。如上所述的出版物Ars Technica,搜索GitHub库凭证用于安全FTP揭示出成千上万的用户名和密码,可以用来妥协所面临的公共资产。
的开发人员可以共享和重用代码在GitHub是问题的一部分,比尔Ledingham说,首席技术官黑鸭子的软件。除此以外,这个公司还监控着300000使用GitHub的开源软件项目,下载源代码并分析漏洞。Ledingham说泄露用户凭证也是无意的错误由开发人员习惯的代码可以借,GitHub修改并重新提交。
“开发人员在某些情况下只是最简单的前进道路,”他说。“他们在代码中检查或重用它,而不是看一些与安全有关的问题。”
有其他公司需要注意的安全问题,。担心会出现泄漏的知识产权组织中开发人员与专有代码从GitHub混合共享代码。“开发者将他们的代码在这些位置和他们可能包括一些公司(知识产权)、“Ledingham说。
当然,GitHub是一个基于web的应用程序,因此,容易同样的问题其他类似的在线应用程序:跨站脚本和信息泄露漏洞在GitHub.com, GitHub API或要点等相关工具和服务。
这些问题都限于GitHub。使用像Sourceforge托管库,发射台,BitBucket都有许多相同的风险。但GitHub的受欢迎程度在一个独特的位置,并将企业陷入了一种困境。
“在我看来没有独家问题(GitHub),还有其他类似的服务像GitLab或BitBucket都,“写的安全研究人员称为Joernchen Phenolit, GitHub的高级撰稿人的bug赏金计划。“这只是GitHub是最受欢迎的服务,因此从攻击者的角度给出了最好的结果。”
不过,这人气已经把许多软件开发企业和商店处于艰难境地。很多没有太多选择GitHub采用默许的风潮和热情的老百姓开发者,Ledingham说。面对秘密或未经批准的级别和文件使用开发人员,这些组织已经成为不情愿的转换:识别平台和生产率增长的力量来自它的使用。
这些公司不完全欣赏GitHub的细微差别和公共存储库的方式管理员工可能会破坏企业安全工作。GitRob就是一个例子。的命令行工具由迈克尔•亨利介绍了在1月和可以用来分析所有公众GitHub库关联到一个特定的组织。GitRob通过编译的公共存储库属于已知的雇员。GitRob可以在每个库国旗文件名匹配模式的敏感文件。职员Henricksen公司一夜,开发它来帮助他的公司发现敏感文件可能不小心被上传到公共存储库。
高水平的建议对于大多数开发人员和开发组织是不做蠢事,Joernchen说。“如果有人检查整个$ HOME目录Git(库),这很好。但如果那个人是足够聪明来发布这对GitHub(库),我已经没有多少同情,”他写道。
不过,Joernchen承认多种信息泄漏很不起眼,容易被忽视。他指出研究从2012年Ruby on Rails会话cookie的秘密被检入到GitHub的开发人员没有意识到64字节的会话密钥是保密的,可以用来劫持Ruby on Rails应用程序。
解决这些问题是非常简单的。Joernchen和其他人推荐使用GitHub的搜索功能以及GitRob之类的工具来查询你的公司的潜在的数据泄漏自己的代码。
数据泄漏预防产品可以识别并阻止专有代码的运动。共同开发人员对最佳实践和适当的安全卫生教育时下载和上传代码共享和搜索源存储库可以帮助防止头拍打错误像数据库管理员证书和私钥的泄漏。
公司非常关注这样的泄漏应该选择像GitHub企业或者GitLab自托管存储库,而不是依靠公开托管平台,Joernchen建议。
在一天结束的时候,画GitHub及其数千万开源和自营项目仍将是一个强大的画,“丑陋的黑客”或没有。但随着增长,相应的需要理解和管理风险,他说。
“首先是获得可见性,然后什么政策来实施管理行为,“Ledingham说。
这个故事,“添加GitHub杜金鸡的安全问题列表”最初发表的ITworld 。