5月20日,GitHub 表示正在调查其内部仓库遭遇未授权访问一事。此前,以软件供应链攻击见长的威胁组织 TeamPCP 在地下犯罪论坛挂牌出售据称属于 GitHub 的源代码及内部组织信息,并声称「这不是勒索」——找到单一买家后即在其侧销毁数据;若无买家则免费公开泄露。
最新调查进展 GitHub 在后续更新中称,已发现并遏制员工设备遭入侵——入侵与一款被投毒的 Microsoft Visual Studio Code 扩展 有关。作为缓解措施,已轮换关键密钥,并优先处理影响最大的凭据。当前评估为:活动涉及的数据外泄范围限于 GitHub 内部仓库;攻击者所称约 3,800 个仓库,与调查方向「大体一致」。
此次入侵路径直指开发环节安全软肋:攻击者通过投毒 VS Code 扩展入侵员工设备,横向渗透内网,窃取密钥、访问仓库、扩散数据,波及 PyPI 供应链,引发连锁安全风险。
源代码裸奔致命风险 GitHub 事件直击加密缺失痛点 Make data more secure
没有加密保护的源代码,就是明文裸奔,GitHub 事件已把所有风险全部上演:
IDE 环境、开发终端、代码仓库、发布流水线,任何一环无加密,源码就会被轻易拿走。堵漏洞、换密钥都是事后补救,源代码加密管控才是唯一治本方案。 源码安全终极解法 主动加密让明文不出门 Make data more secure 真正能守住源码的,只有全生命周期源代码加密管控。敏捷科技新一代数据防泄漏 EDLP 方案,以加密为底座,集成终端安全、权限管控、审计溯源一体化能力,针对软件企业研发场景量身打造,从源头杜绝源代码泄露: ✔ 全语言全 IDE 加密,无感防护不影响开发 支持 C/C++、Java、Python、JS、C# 等所有开发语言; 无缝适配 VS Code、IDEA、PyCharm、Android Studio 等主流 IDE; 不改变操作习惯,不影响编译、调试、运行。 ✔ GitHub / SVN 仓库闭环安全 代码上传自动解密、下载强制加密,服务器明文存储不泄密; 未安装 EDLP 客户端的设备无法连接、访问代码仓库; 仓库密钥、CI/CD 发布令牌加密托管,防窃取防滥用。 ✔终端安全空间,从源头阻断外泄 终端开辟专属安全工作区,源码文件无法复制、截屏、外发; 支持 Windows/Linux/Mac 多平台,适配混合办公、远程加班; 恶意插件、非法程序无法读取加密源码,抵御 IDE 投毒攻击。 ✔最小权限 + 全程审计,内外双防 按角色分级授权,核心代码仅核心人员可访问; 全流程操作日志审计,异常行为实时告警; 外发审批、水印溯源、打印管控,泄密可定位、可举证。 GitHub 事件再次证明:源代码不加密,风险随时会来。敏捷科技新一代数据防泄漏 EDLP 方案,从终端到仓库、从开发到发布,全生命周期加密守护核心资产。对内透明不影响效率,对外坚不可摧抵御泄露。 该方案已得到金恒信息、群杰科技、畅途网、拓界科技、利合信诺科技、立信数据科技、卓盛云信息科技等多家软件企业的认可并已成功实施,有效护航了多家企业数据安全建设的优化升级,夯实了企业核心竞争力,助推企业长远发展。
18120179909
关注敏捷小助手,了解更多