50+科技公司源代码遭泄漏，看听云运维总监谈DevOps应用程序安全

本篇文章2287字，读完约6分钟

据国外媒体报道，最近，全球涉及的50多家科技公司，包括华为、日立、联想、微软、高通等，都因devops应用不安全而泄露了源代码。网络安全公司immuniweb的创始人兼首席执行官伊利亚·科洛琴科(Ilia kolochenko)指出，“从技术角度来看，这种泄露并不十分严重...如果没有日常的支持和改进，源代码将会迅速贬值。”

然而，作为历史上最大的源代码泄漏，许多安全专家对此深表关切。基于此，我们对听云运营与维护总监进行了简短的采访。

你对这件事有什么看法？

我非常同意伊利亚·科洛琴科的说法。如果没有持续的安全措施，漏洞会像雪球一样滚动，最终导致雪崩。Devops引入it环境后，提高了工作效率，但忽略了安全性，这只会加速我们代码的贬值。

devops应用程序如何导致源代码泄漏？

有很多因素，不仅仅是devops应用程序，比如我们通常的操作系统和各种平台软件，都可能有漏洞。Devops加速了代码集成和迭代，并且可能的安全风险点也相应增加。与xss、sql注入、并行权限验证类似，这些控制在代码编写过程中是不充分的，可能会形成安全风险；一些第三方开源工具没有足够的参考管理，没有必要的安全审查，或者没有持续的安全管理，这也会给产品带来安全风险。

您认为devops应用程序的安全性应该注意哪些方面？

Devops贯穿于需求、R&D和交付的整个过程，其中涉及的应用安全是安全的重中之重。当我们选择devops应用程序时，我们应该将安全性放在突出的位置。在引用devops应用程序之前，我们应该首先对它们进行评估。在评估过程中，我们更加注重功能的适用性，但安全性满意度往往降低甚至被忽略。有些企业可能会直接跳过这个环节，用户部门认为它容易使用，而业务部门认为它便宜又实惠，甚至说开源是免费的，所以先使用它，埋下安全隐患。Devops应用程序通常是研发或管理工具，产品的核心是易用性。在一些集成或测试工具中，尤其是开源工具，安全标准的设计门槛经常被人为地降低。例如，账户密码管理的需求，当密码复杂性和验证多样性的需求成为基准时，许多开源甚至商业工具仍然缺乏安全设计。在许多情况下，密码和敏感信息没有加密或无法加密。Devops应用程序已经被使用，所以我们需要更合适的规范来管理这些应用程序。所有的应用都在发展，每天都有新的版本发布。虽然功能完善，但安全性需要关注和跟进。很简单，在选择审查阶段安全应用可能在使用阶段不安全。一些使用第三方开源的应用程序需要更加关注变化。每天都有大量漏洞被暴露和利用，如果不及时修复，可能会造成安全风险。在提供服务的过程中，devops应用程序制造商也有好坏参半的现象，并且在安全响应和修复能力方面存在很大差异。卓越的服务可以通过各种渠道及时发布和修复安全漏洞，并定期评估自身产品的安全性。然而，带病裸奔在现实场景中并不少见。

听云如何保证其产品的安全？

从一开始，当听云推广第一个产品时，它就把安全放在整个产品系统中。近年来，随着saas服务的推广，安全性被提升到了战略层面。除了根据信息安全和服务安全标准建立系统外，生产过程也被纳入安全管理范畴。在产品设计过程中，听云要求所有的需求设计，R&D设计要做安全审查，必要的环节要做威胁建模。首先预设风险，然后应用解决方案和流程验证来确保措施得到实施。在代码研发过程中，听云制定了严格的安全编码标准，对sql语句、数据存储、传输过程等进行了规范管理。，提出了高标准的安全要求，并首先从代码层屏蔽了常见的安全漏洞，如sql注入、并行权限和xss。在测试过程中，严格按照安全基线的要求编写测试用例，并从客户需求、第三方组件、历史继承等不同方面输出相应的测试样本。在听云发布产品之前，将在集成测试过程中进行单独的安全测试。产品必须经过病毒、端口安全检查、网络安全、应用程序安全和代码安全工具的全面测试，并且存在必须纠正的已知安全漏洞。总之，在产品发布之前，听云应该确保产品是安全的。交货后，听云有一个专门的团队来跟踪产品的安全性。除了组织第三方安全服务提供商定期评估产品的各种安全风险外，还拥有完整的产品软件信息库，对已知的安全漏洞有相应的修复标准要求，能够快速发现和应对产品使用中的安全漏洞风险。在使用中，听云的产品也值得信赖。

安全是一个永恒的话题。无论是哪种企业或行业，安全永远是第一位的。听云在apm领域已有多年，许多重点客户在合作前都会进行安全合规检查，而听云在这种检查中经受住了考验。就安全而言，听云是值得信赖的最佳选择。

据国外媒体报道，最近，全球有50多家科技公司因不安全的devops应用程序泄露了源代码，其中包括华为、惠普、联想、微软和高通。网络安全公司

据国外媒体报道，最近，全球涉及的50多家科技公司，包括华为、日立、联想、微软、高通等，都因devops应用不安全而泄露了源代码。网络安全公司immuniweb的创始人兼首席执行官伊利亚·科洛琴科(Ilia kolochenko)指出，“从技术角度来看，这种泄露并不十分严重...如果没有日常的支持和改进，源代码将会迅速贬值。”

然而，作为历史上最大的源代码泄漏，许多安全专家对此深表关切。基于此，我们对听云运营与维护总监进行了简短的采访。

你对这件事有什么看法？

我非常同意伊利亚·科洛琴科的说法。如果没有持续的安全措施，漏洞会像雪球一样滚动，最终导致雪崩。Devops引入it环境后，提高了工作效率，但忽略了安全性，这只会加速我们代码的贬值。

devops应用程序如何导致源代码泄漏？

有很多因素，不仅仅是devops应用程序，比如我们通常的操作系统和各种平台软件，都可能有漏洞。Devops加速了代码集成和迭代，并且可能的安全风险点也相应增加。与xss、sql注入、并行权限验证类似，这些控制在代码编写过程中是不充分的，可能会形成安全风险；一些第三方开源工具没有足够的参考管理，没有必要的安全审查，或者没有持续的安全管理，这也会给产品带来安全风险。

您认为devops应用程序的安全性应该注意哪些方面？

Devops贯穿于需求、R&D和交付的整个过程，其中涉及的应用安全是安全的重中之重。当我们选择devops应用程序时，我们应该将安全性放在突出的位置。在引用devops应用程序之前，我们应该首先对它们进行评估。在评估过程中，我们更加注重功能的适用性，但安全性满意度往往降低甚至被忽略。有些企业可能会直接跳过这个环节，用户部门认为它容易使用，而业务部门认为它便宜又实惠，甚至说开源是免费的，所以先使用它，埋下安全隐患。Devops应用程序通常是研发或管理工具，产品的核心是易用性。在一些集成或测试工具中，尤其是开源工具，安全标准的设计门槛经常被人为地降低。例如，账户密码管理的需求，当密码复杂性和验证多样性的需求成为基准时，许多开源甚至商业工具仍然缺乏安全设计。在许多情况下，密码和敏感信息没有加密或无法加密。Devops应用程序已经被使用，所以我们需要更合适的规范来管理这些应用程序。所有的应用都在发展，每天都有新的版本发布。虽然功能完善，但安全性需要关注和跟进。很简单，在选择审查阶段安全应用可能在使用阶段不安全。一些使用第三方开源的应用程序需要更加关注变化。每天都有大量漏洞被暴露和利用，如果不及时修复，可能会造成安全风险。在提供服务的过程中，devops应用程序制造商也有好坏参半的现象，并且在安全响应和修复能力方面存在很大差异。卓越的服务可以通过各种渠道及时发布和修复安全漏洞，并定期评估自身产品的安全性。然而，带病裸奔在现实场景中并不少见。

听云如何保证其产品的安全？

从一开始，当听云推广第一个产品时，它就把安全放在整个产品系统中。近年来，随着saas服务的推广，安全性被提升到了战略层面。除了根据信息安全和服务安全标准建立系统外，生产过程也被纳入安全管理范畴。在产品设计过程中，听云要求所有的需求设计，R&D设计要做安全审查，必要的环节要做威胁建模。首先预设风险，然后应用解决方案和流程验证来确保措施得到实施。在代码研发过程中，听云制定了严格的安全编码标准，对sql语句、数据存储、传输过程等进行了规范管理。，提出了高标准的安全要求，并首先从代码层屏蔽了常见的安全漏洞，如sql注入、并行权限和xss。在测试过程中，严格按照安全基线的要求编写测试用例，并从客户需求、第三方组件、历史继承等不同方面输出相应的测试样本。在听云发布产品之前，将在集成测试过程中进行单独的安全测试。产品必须经过病毒、端口安全检查、网络安全、应用程序安全和代码安全工具的全面测试，并且存在必须纠正的已知安全漏洞。总之，在产品发布之前，听云应该确保产品是安全的。交货后，听云有一个专门的团队来跟踪产品的安全性。除了组织第三方安全服务提供商定期评估产品的各种安全风险外，还拥有完整的产品软件信息库，对已知的安全漏洞有相应的修复标准要求，能够快速发现和应对产品使用中的安全漏洞风险。在使用中，听云的产品也值得信赖。

安全是一个永恒的话题。无论是哪种企业或行业，安全永远是第一位的。听云在apm领域已有多年，许多重点客户在合作前都会进行安全合规检查，而听云在这种检查中经受住了考验。就安全而言，听云是值得信赖的最佳选择。

来源：零点娱乐时刊