企業的側面
オープンソース コードからの潜在的な脅威
少し前にオープンソース パッケージの脆弱性がApache Log4j2発生し、あらゆる人に警鐘を鳴らしました。企業は、このようなリスクを軽減するために、コード レビュー、機密情報のオープン ソース ライブラリのスキャン、攻撃テストを実施するセキュリティ チームの構築などの対策を講じることができます。
自己開発コード
自社開発コードは企業の重要なプライベートデジタル資産であり、「コード漏洩リスクの防止」「コード記述リスクの防止」など、安全性が十分に保証される必要があります。
コードデータ漏洩リスクの防止
- 関連するオープンソース プラットフォーム (例: ) でコードの監視を実行でき
GitHub、機密情報が発見されたときにアラートをタイムリーに送信できます。 - キーコードデータの権限制御により、限られたユーザーのみが取得できるようになります。
- 従業員研修、従業員の警戒心を高めるための対応制度があります。
- 敏感な行動の監視。
コード作成のセキュリティ、静的コードの脆弱性
欠陥管理のコストが最も低くなるのは、開発段階/テスト、リリース段階/納品、修正の段階であり、開発段階で最もコストが低いことが判明します。
- コードレビューは適切に行う必要があり、コードの抜け穴のほとんどはこの段階で取り除くことができます。
- 脆弱性の自動スキャン。
- セキュリティチームを編成して攻撃テストを実施する(一般の中小企業にはエネルギーと資金がありません)。
- 脆弱性を発見した場合は事前に是正措置を講じ、損失を最小限に抑えます。
特定の企業予防シナリオ
企業内の特定のサービスを SMS 送信プラットフォーム (ここでは例として Alibaba Cloud です) に接続する必要があります。オプションは 2 つあります。
- 内部サービスが Alibaba Cloud を独自に呼び出す場合
OpenAPI、開発者はデータ漏洩につながらない情報 (コード内に暗号化データを配置できるが、明示的に禁止されている) などのid情報を知っておく必要があります。secretidsecret - 企業は内部で SMS 送信プラットフォームをカプセル化し、他のサービスは SMS メッセージを送信するためにこの SMS サービスを呼び出すだけで済みます (セキュリティ制御をさらに強化するためにここにホワイトリストを追加できます)。これにより、重要な情報が固定権限を持つ担当者間でのみ流通することが保証されます。 . 事故の可能性を減らします。
個人的な側面
- コードのセキュリティを意識する必要がある
- 日常のコード分離をしっかり行う必要があるエンタープライズコードと独自のテストコードを分離する必要があるエンタープライズコードを誤ってオープンプラットフォームにアップロードしないでください。
- また、コードを書くときはリスクを回避する必要があり、一部の脆弱性 (弱い暗号化機能、JSON インジェクション、クロスサイト リクエスト フォージェリなど) や機密データの平文 (トークン、パスワードなど) を事前に考慮する必要があります。
コードデータの漏洩は、タオバオの販売者からの否定的なレビューに相当します。誤ってコードデータの漏洩を引き起こした場合、あなたの評判が低下したり(悪い評判)、家族全員が破滅したりする可能性があります(たとえば、秘密保持条項に署名した場合、漏洩についてはお客様の責任となります)金銭的補償)。
したがって、企業内の個人にとっては、コードとデータのセキュリティを常に念頭に置き、用心深く注意する必要があります。
要約する
コードのセキュリティ保護は、企業と個人の間の法律と道徳に似ており、法律が下限を決定し、道徳が上限を決定します。このような状況を回避するには、個人が十分なセキュリティ意識を持っている必要があります。企業は情報漏えいを防ぐ最後のファイアウォールであり、漏えい後の対策は万全でなければなりません。
このような問題は通常は起こりませんが、もし不純な動機を持つ人物に遭遇して漏洩が発生した場合、通常は大きな問題になります。企業が開発を続けるにつれて、コード データのセキュリティ問題にはより注意を払う必要があります。
参考
https://blog.csdn.net/BYvonne/article/details/121902748
https://blog.csdn.net/yunqiinsight/article/details/125308228
https://zhuanlan.zhihu.com/p/517493031