企业如何防止代码泄露？飞算全自动软件工程平台给出最佳答案

近年来,代码泄露之风,甚嚣尘上。

据BleepingComputer报道,美国网络安全公司Rapid7披露遭遇了Codecov供应链攻击,部分源代码存储库在网络攻击事件中泄漏。

《糖豆人:终极淘汰赛》在最近的一次更新中将源代码文件也发了出来……

代码泄露,频频发生、防不胜防……

那么,代码泄露为什么会如此高频地发生?

业内周知,在信息安全体系中,最薄弱环节是终端安全防护。目前,终端安全防护的技术手段极为有限,终端存在诸多安全隐患,其中最大的问题是终端普遍存在数据泄露风险。

据资料显示,近些年来,在所有的的泄密事件中,大部分是“内部泄密”,而不是“外部窃密”。据统计,80%以上的信息泄露事件是由内部员工数据泄露导致的。

代码泄漏其实是伴随计算机编程出现的问题,目前整个行业基本大都是通过GIT或SVN等进行代码管理,而项目组的每个开发人员都能够下载全部代码,这就给整个项目代码泄漏造成很大隐患。

一旦代码泄漏就很容易复制出一个相同的程序,或通过阅读源代码找到程序的漏洞进行任意攻击。代码泄露给公司带来的损失是很大的,不但会带来经济损失,还会带来名誉损失,甚至引起法律纠纷。

所以,对于科技团队而言,防止源代码外泄至关重要。目前,市面上传统的做法有三:

第一,设备防止。比如说可以采用虚拟桌面,让代码只能存储在服务器端。比如说禁止外设(USB,串口)访问工作电脑。比如说禁止带手机,相机等拍照工具进入研发室。比如说禁止工作电脑连接互联网,限制性连接内网;

第二,法律保障。和员工签订竞业协业,保密协议。重罚并追求泄密员工或前员工的法律责任,并且当作案例宣传,教育员工;

第三,人心保证。通过薪资待遇,言谈教育来指引,员工才不会泄密,更是主动在保密上做好功夫。

可以看到,传统的解决方案都围绕着“人”,没有从根本上解决问题,治标不治本。业内人士分析认为,如果有一个有效的工具能将代码管理制度自动落实到位,而不是依靠对“人”的制约,这一痛点方能真正解决。

而近期国内发布的一款软件工程平台,则可从根本上解决这一全球性的行业难题。新一代java开发工具——飞算SoFlu全自动软件工程平台,率先提出软件工程行业的作业方式从“人治”变成“法治”,以解决软件工程全生命周期的问题。在防止代码泄露方面,其通过“无代码的微服务开发、灵活且细粒度项目权限管理、日志审计功能”给出解决方案:

无代码的微服务开发方面,微服务的业务逻辑全面可视化开发,开发人员不需要编写源代码,自然没有代码泄漏的风险。

灵活且细粒度项目权限管理方面,团队协作中,不同的项目成员角色被赋予不同的访问权限,精细化管控项目模块的权限,实施最小化权限管理。

日志审计功能方面,平台上所有的操作都有操作日志记录,对于可能的越权访问能及时发现,并能够追溯。

对于飞算SoFlu全自动软件工程平台,中国工程院院士倪光南评价道: “针对软件行业的痛点,非常高兴地看到飞算全自动软件工程平台提出了很好的解决方案,希望你们能够在实践中不断发展,为解决软件工程的这些痛点作出贡献,如果能通过实践的验证,那么对于软件行业的发展将很有意义。”