使用数据防泄漏软件进行源代码保护

使用数据防泄漏软件进行源代码保护

开发定制应用程序的科技企业，无论是供内部使用还是出售，都拥有客户的个人信息或信用卡号一样值得保护的宝贵资产——源代码。对于许多人来说，源代码是业务的绝对核心。如果您的公司开发独特的 IT 产品，其源代码应该像世界上最著名的炸鸡的原始食谱一样受到严密保护。不幸的是，由于许多原因，保护源代码比存储在带有多个锁的钢制保险箱中的配方要困难得多。

为什么源代码如此珍贵？

许多商业应用程序具有主要的竞争优势，因为除了作者之外，没有人确切知道这些应用程序是如何工作的。他们可以使用独特的算法或巧妙的编程技巧，这使他们更准确、更快或在任何方面都优于竞争对手。这些秘密隐藏在源代码中。

理解为什么源代码如此珍贵还需要对计算机程序的创建方式有一点了解。在几乎所有的现代架构中，程序员都用所谓的高级语言编写程序，如 Java、Python、Ruby 或 C++——这正是所谓的源代码。这些语言对人类来说很容易理解，并允许人们之间轻松协作。不幸的是，对于计算机的处理器来说，它们并不容易理解，因为计算机的处理器需要非常基本的指令集。

每次开发人员创建源代码的新版本时，都必须将其转换为计算机的这些指令。过去，许多架构都是这样做的，因为代码使用称为解释器的特殊应用程序运行，但这种方法不是很有效。如今，几乎所有语言都需要一个称为编译器的特殊应用程序，它获取源代码并将其转换为实际应用程序，该应用程序可以在计算机上运行、在线发布或由您的客户下载和安装。

但你可能会认为，如果一个应用程序是在线下载或发布的，那么任何人都应该能够理解它是如何工作的并获取源代码，对吧？事实并非如此。就像你不能咬一口炸鸡，分析它，然后想出所有用于制作它的原始香料（然后复制它）一样，你不能轻松地将应用程序转换回源代码。这就是为什么企业可以安全地公开应用程序，但不会对其源代码做同样的事情。

谁会对窃取您的源代码感兴趣？

虽然源代码盗窃企图背后的明显罪魁祸首是你偷偷摸摸的竞争对手，可能来自世界上一个法律看起来不相看的地方，但更多的人会发现你独特的算法是一种美味的享受：

暗网经销商：对您的源代码的最大威胁可能是专业人士，他们通过从他人那里偷窃来谋生，然后将其出售给出价最高的人，或者要求赎金以不公开代码。就像珠宝窃贼很少打算在自己的家中展示奖杯以供欣赏一样，大多数源代码窃贼对里面的东西根本不感兴趣。他们寻找一个容易的受害者，获取源代码，并将其发布在暗网上竞标，或者勒索受害者以获取大量资金。

• 想成为黑客和伪活动家的人：另一方通常对你的算法不感兴趣，而是对盗窃行为本身感兴趣，这就是所谓的“脚本小子”。这些人通常是陷入困境的年轻人，他们试图通过参与非法黑客社区来改善自我形象，如果他们设法打破保护并公开暴露他们的奖杯，他们就会得到最大的尊重。类似的情况可能会发生在那些认为你的秘密应该被公众知道的人身上，这样每个人都可以从你的研究中受益，“为了世界的利益”。在这些情况下，损害可能比专业窃贼要严重得多，因为您的宝贵信息最终可能会被任何人下载。
• 民族国家行为者：不仅来自世界另一端的阴暗竞争对手可能对你的独特算法感兴趣，而且他们背后的政府也对他们感兴趣。他们的目标可能不是利用你们的发明，而是削弱你们的地位以及你们国家或其盟友的地位。盗窃本身帮助他们为他们的宣传机器提供动力，证明他们的敌人是多么容易成为目标。

上述三种威胁只是示例，可能还有其他威胁会从被盗内容、曝光或盗窃本身的事实中受益。最后但并非最不重要的一点是，攻击者可以悄悄地使用被盗的源代码来探索软件中的漏洞。这使得源代码成为当今信息驱动世界中最具针对性的明珠之一。

源代码怎么会被盗？

现代应用程序是由包含众多角色的团队开发的，所有这些角色都需要对源代码的某种访问权限。不幸的是，这意味着攻击者有多个潜在的入口点来窃取您的宝贵信息，您必须保护这些点中的每一个。总而言之，窃取源代码比窃取秘密公式要容易得多，而且不需要像电影《西班牙囚徒》中描绘的那样错综复杂的网络。

同样，要理解为什么未受保护的源代码很容易被窃取，我们必须了解今天的软件是如何制作的。在几乎每个构建应用程序的企业中，其应用程序的整个源代码都使用称为版本控制系统的特殊软件进行存储，而放置源代码的地方通常简称为存储库。这款特殊软件可以轻松跟踪参与构建和修改源代码的任何团队所做的任何更改，在需要时恢复它们，甚至同时创建软件的多个版本。

当今最流行的版本控制系统称为 Git，主要存储库可以存储在专用的公司服务器上，或者使用 GitHub 和 GitLab 等云解决方案进行管理。虽然这些存储库通常受到很好的保护，企业唯一需要担心的是使用强密码和多因素身份验证来访问它们，但不幸的是，每个在软件上工作的人，例如开发人员/程序员或提供质量保证的测试人员，都需要将整个源代码复制到他们的本地计算机。这意味着您的宝贵代码位于数十甚至数百台笔记本电脑上，通常遍布世界各地！

这一事实本身就意味着，如果攻击者不是针对受到良好保护的中央存储库，而是针对弱点：那些开发人员或测试人员以及他们的笔记本电脑，那么源代码就很容易被窃取。使用社会工程来愚弄一个人，甚至获得对这种笔记本电脑的物理访问权限，比试图突破云巨头的保护或闯入专用的公司服务器要容易得多。

著名的源代码盗窃案

源代码盗窃不仅仅是一个理论，而是一个日常现实。虽然此类案件不像个人信息盗窃那样经常被大众媒体曝光，而且我们听到的关于它们的消息不如阿什利·麦迪逊（Ashley Madison）黑客事件那么多，现在甚至被Netflix记录在案，但它们几乎每年都会发生，甚至发生在最大的市场参与者身上。以下是一些著名的案例及其后果。

• 2018 年 – Apple： 一名离开公司的实习生拿走了 iOS 源代码的副本，并将其交给了一个专门破坏操作系统保护机制（“越狱”）的社区。随后，社区公开发布了部分源代码，展示了苹果如何实现安全启动机制。
• 2020 年 – 梅赛德斯： 这家汽车巨头通过错误地发布可以使用 Google 搜索找到的安全令牌（类似于密码）公开暴露了其整个源代码库。幸运的是，这个安全漏洞是由安全工程师（RedHunt Labs 的 Shubham Mittal）发现的，但很难说以前是否有其他人设法访问过这些敏感数据。
• 2022 – Microsoft： 该公司是黑客组织 Lapsus攻击的受害者，该组织访问了 Bing 和 Cortana 等公司的代码。由于未受保护的 Azure 云服务器，攻击者能够窃取此源代码，任何没有密码的人都可以在一个月内访问该云服务器。
• 2023 – Riot Games： 这家游戏发行商拥有被盗的最著名的游戏之一的代码：英雄联盟。袭击者索要赎金，据说，这次袭击是利用社会工程技术精心策划的。
• 2024 年 3 月 – Microsoft： 这一次，这家巨头的源代码被最臭名昭著的俄罗斯民族国家行为者之一 Midnight Blizzard 窃取，他们之前因 SolarWinds 黑客攻击而闻名。这种攻击是使用密码喷射精心策划的，这意味着假设大多数人对许多系统使用相同的密码（不幸的是，这是真的），尝试使用相同的被盗密码来访问许多目标。

以上只是少数几个案例，但还有很多其他案例，例如，2013 年的 Adobe、2012 年和 2019 年的赛门铁克、2017 年的 Microsoft Windows 10、2018 年的 Snapchat 等等。似乎世界上发生的备受瞩目的源代码盗窃案件比个人信息泄露事件还要多。

使用 DLP 防止源代码盗窃的挑战

正如我们之前提到的，窃取源代码的最容易访问点是端点——主要是软件开发人员和软件测试人员使用的笔记本电脑，它们几乎在任何时候都在完全不受保护的本地 Git 存储库中拥有应用程序源代码的完整副本，该存储库只是本地磁盘上的一个目录。唯一可以帮助保护如此广泛暴露的资产的安全软件类型是用于端点的数据丢失防护软件。

数据防泄漏软件的工作原理是允许设备所有者访问受保护的资源，但不允许将此敏感内容复制并粘贴到其他应用程序（例如浏览器窗口、信使应用程序或电子邮件客户端）中。但第一个挑战实际上是确定需要保护的资源，在本例中是源代码。

虽然安全软件扫描本地磁盘上的所有文件相对容易，但在这些文件中发现源代码并不像看起来那么容易。今天的高级编程语言是为了让人类易于理解，因此它们使用听起来像自然语言的单词。虽然其中一些充满了在其他内容中并不常见的结构，例如分号和括号，但许多都摆脱了这个难题。

总而言之，数据防泄漏软件不仅必须能够识别最常见和最容易识别的编程语言（如 Java），还必须能够识别更具挑战性的编程语言（如 Python、Ruby 或 SQL）。这就是安企神软件以其独特的基于 N-gram 的文本分类算法而大放异彩的地方，该算法在识别编程语言方面达到 98% 的准确率。

保护源代码时效率的重要性

安企神已经众所周知，识别源代码的准确性只是该软件特别适合保护源代码的原因之一。但是，数据防泄漏软件软件无法识别专有源代码和本地磁盘上的其他源代码，例如开源库或操作系统源代码（例如在 macOS 系统中）。因此，处理效率非常重要，因为可能需要覆盖的不仅仅是最敏感的源代码片段。

最后但并非最不重要的一点是，源代码不是一种商品，只是暂时下载，然后就不再使用，例如许多类型的个人信息。源代码永久保存在开发人员的磁盘上，并且始终处于不断变化的状态。每天，开发人员都会修改文件，复制其片段，创建新文件，在开发环境中打开它们，并将所有内容与云/服务器存储库同步，这可能会下载其他开发人员创建的大量新信息。