最近，雷鋒網(wǎng)編輯朋友圈被一則“泄露公司源代碼造成超百萬(wàn)損失，大疆前員工被罰20萬(wàn)、獲刑半年”的消息刷屏了。

事情是這樣的，2017年9月初，大疆的漏洞舉報(bào)郵箱收到一封來(lái)自安全研究員 Kevin Finisterr 的海外郵件，對(duì)方稱在 GitHub 代碼分享社區(qū)上，發(fā)現(xiàn)有包含大疆源代碼等重要敏感信息的鏈接。攻擊者可以通過(guò)其獲取SSL證書(shū)的私鑰，并訪問(wèn)存儲(chǔ)在大疆服務(wù)器上的客戶敏感信息（諸如用戶信息、飛行日志等私密信息都能被下載）。

大疆調(diào)查后發(fā)現(xiàn)，這事居然和某位前員工有關(guān)。據(jù)悉，這位員工畢業(yè)于著名高校，在大疆的子公司擔(dān)任軟件工程師，曾負(fù)責(zé)編寫(xiě)農(nóng)業(yè)無(wú)人機(jī)的管理平臺(tái)和農(nóng)機(jī)噴灑系統(tǒng)代碼。

他曾在 GitHub 網(wǎng)站上開(kāi)設(shè)了賬號(hào)，并建立了“公有倉(cāng)庫(kù)”。之后，其通過(guò)一個(gè)計(jì)算機(jī)指令，將含有公司農(nóng)業(yè)無(wú)人機(jī)的管理平臺(tái)和農(nóng)機(jī)噴灑系統(tǒng)兩個(gè)模塊的代碼上傳至 GitHub 網(wǎng)站的“公有倉(cāng)庫(kù)”，造成了源代碼泄露。

Kevin Finisterr 在推特公布泄密員工的郵件

【圖片來(lái)源：南方都市報(bào)】

經(jīng)鑒定，這些泄露出去的代碼已用于大疆農(nóng)業(yè)無(wú)人機(jī)產(chǎn)品，屬于商業(yè)秘密。目前該員工已自首，此次泄露事件給大疆造成經(jīng)濟(jì)損失116.4萬(wàn)元人民幣。

法院于近日作出一審判決，以侵犯商業(yè)秘密罪判處大疆前員工有期徒刑六個(gè)月，并處罰金20萬(wàn)人民幣。

公司源代碼被員工有意無(wú)意泄露的事件太多了。

4月22日，B站的網(wǎng)站后臺(tái)工程源碼遭惡意泄露，被一個(gè)名為“openbilibili”的用戶放到了開(kāi)源項(xiàng)目平臺(tái)Github上。內(nèi)容包含了項(xiàng)目規(guī)范和負(fù)責(zé)人信息兩部分，后者還涵蓋了詳細(xì)的業(yè)務(wù)、具體負(fù)責(zé)人等信息。在上線不到 6 小時(shí)的時(shí)間里，該repo斬獲 5000+ Star，6000+Fork。

當(dāng)天17:30 左右，Github 才徹底刪除了該倉(cāng)庫(kù)。事后，B站發(fā)表聲明稱，泄露的部分代碼屬于較老的歷史版本，并且已執(zhí)行了主動(dòng)防御措施。

多方爆料都將這起泄露事件指向內(nèi)部員工蓄意報(bào)復(fù)，但這些與不知被拷貝了多少份的源碼隱患相比也不甚重要了。畢竟，如果有人想通過(guò)后端代碼攻擊B站，無(wú)需再進(jìn)行逆向工程猜測(cè)運(yùn)作原理和漏洞位置，可以直接從源碼中找到很多漏洞。

在此之前，今年2月，某云代碼托管平臺(tái)因項(xiàng)目權(quán)限設(shè)置存在歧義，導(dǎo)致開(kāi)發(fā)者操作失誤，造成至少 40 家以上企業(yè)的 200 多個(gè)項(xiàng)目代碼泄露事件同樣鬧得沸沸揚(yáng)揚(yáng)。爆料者稱，之所以出現(xiàn)這種情況，可能是因?yàn)檫@些公司的程序員在給項(xiàng)目建庫(kù)時(shí)操作不當(dāng)，將項(xiàng)目權(quán)限設(shè)置成“平臺(tái)公開(kāi)”。

因?yàn)楫?dāng)時(shí)的某云代碼托管業(yè)務(wù)還是全英文平臺(tái)，可能很多企業(yè)在創(chuàng)建項(xiàng)目的時(shí)候會(huì)誤選擇“internal”，也就是“平臺(tái)公開(kāi)”。

隨后，某云在其新浪微博上發(fā)布了關(guān)于 Internal 訪問(wèn)權(quán)限的說(shuō)明，稱已增強(qiáng)了對(duì) Internal 權(quán)限的中文注解，并發(fā)出全站通知提醒。

【圖片來(lái)源：鉛筆道】

更早些時(shí)候，2018年2月，一位名為 "ZioShiba" 的用戶在開(kāi)源代碼托管平臺(tái) GitHub 上泄露了蘋果公司專有的 iBoot 源代碼。

根據(jù)蘋果公司的聲明，遭到泄露的是兩年前 iOS 9 的源代碼，與現(xiàn)在相隔甚遠(yuǎn)，不會(huì)導(dǎo)致大規(guī)模安全事件。但仍然可能被相關(guān) iOS 安全研究人員和越獄愛(ài)好者加以利用，在 iPhone 鎖定系統(tǒng)中發(fā)現(xiàn)其他新的漏洞。

這起源代碼泄露事件也與員工逃不開(kāi)關(guān)系，據(jù)說(shuō)某員工在蘋果工作時(shí)，在幾位越獄愛(ài)好者朋友的 " 慫恿 " 下拿來(lái)了 iBoot 源代碼以及其他一些尚未泄露的代碼，并分享到了五人小群體中。這位員工很有求生欲地表示，自己只是想拿到源代碼進(jìn)行相關(guān)的安全研究，完全沒(méi)有任何對(duì)蘋果的不滿。

源代碼之于互聯(lián)網(wǎng)公司是核心競(jìng)爭(zhēng)力，企業(yè)能否在同行中展露頭角，具備核心競(jìng)爭(zhēng)力，源碼的保護(hù)起到了決定性的作用。

知乎上有不少如何防止源碼泄露的相關(guān)問(wèn)題，底下網(wǎng)友們的回答各有特色：

知乎網(wǎng)友章孜，

大多數(shù)軟件公司是依靠程序員的自尊心，泄露出去實(shí)在特么丟人啊……

知乎網(wǎng)友蘿魏紫：

我司的代碼，所有能接觸到的人都一致認(rèn)為，泄漏出去也沒(méi)關(guān)系，自帶混淆不說(shuō)，搞懂的effort遠(yuǎn)大于再造一套新的代碼的effort。

知乎網(wǎng)友cnsinda：

目前我所知道的對(duì)源代碼加密的辦法有兩種：一種是物理性的“源代碼加密”，一種是軟件性的源代碼加密。

物理性“源代碼加密”就是指截?cái)嗤饩W(wǎng)，封掉U口或者鎖機(jī)箱，讓開(kāi)發(fā)者處于一種封閉的狀態(tài)。這種方法是可以達(dá)到效果的，弊端就是如若封掉U口，對(duì)于員工的工作使用會(huì)造成很大的影響，大大降低了工作的效率，并且員工開(kāi)發(fā)查資料很不方便，如若給每人配一臺(tái)電腦，公司的成本將大大提高。這樣的操作方式員工的抵觸心里也會(huì)頗大。

軟件性的源代碼加密是指通過(guò)軟件對(duì)源碼進(jìn)行保護(hù)。目前市面上最流行的源代碼加密軟件機(jī)制是一種對(duì)開(kāi)發(fā)人員的操作環(huán)境進(jìn)行加密的軟件，不用對(duì)任何硬件做修改，開(kāi)發(fā)人員的源代碼只能存放在公司范圍里，拿不出加密的空間。如果想要拿出文件的話則需走審批流程。

知乎匿名網(wǎng)友：

只要寫(xiě)得爛，泄露就沒(méi)辦法被別人用。

總體來(lái)說(shuō)，源碼泄露這事，從企業(yè)層面應(yīng)該采用種種手段進(jìn)行防御，作為員工個(gè)人，別那么想不開(kāi)。

雷鋒網(wǎng)文章參考：

南方都市報(bào)《泄露公司源代碼造成超百萬(wàn)損失，大疆前員工被罰20萬(wàn)、獲刑半年》

雷鋒網(wǎng)《阿里云代碼托管平臺(tái)上多家企業(yè)誤開(kāi)放訪問(wèn)權(quán)限，誰(shuí)的鍋？》

知乎

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。