GitGuardian是一个网络安全平台,可帮助公司检测隐藏在公私人代码存储库中的数据,已在伦敦的Balderton Capital领导的A轮融资中筹集了1200万美元,GitHub联合创始人Scott Chacon和Docker联合创始人Solomon Hykes参与了该活动。
GitGuardian于2017年在巴黎外成立,实时扫描GitHub的所有公共活动,以识别私有数据,例如数我和小保姆据库登录凭据,API密钥,加密密钥等。该公司与200多家API供应商合作,涉及支付系统,云服务,消息传递应用程序,加密钱包等,以确保迅速发现泄漏到公共领域的任何私人信息并通知公司。这家法国创业公司表示,自成立以来已经发出了40万条警报。
GitGuardian希望的私有数据类型在业内被称为“秘密”,包括未经授权的第三方可以用来访问系统(例如云或数据库)的任何内容,包括密码和API令牌。
在后台,GitGuardian将GitHub注册的开发人员与其公司联系起来,每天扫描覆盖250万次代码提交的内容,以查找用户名和密码,数据库连接字符串密钥,SSL证书等。该公司表示,它使用“复杂的模式匹配”和机器学习技术,并通过开发人员的“反馈循环”不断学习其算法。实际上,GitGuardian的客户可以通过告知警报是否有效来帮助改进该技术。
尽管公共GitHub存储库是GitGuardian产品的主要方面,但它还可以识别通过内部系统无意中的信息,包括私有代码存储库和消息应用程序。如果组织内有太多人可以访问这些代码,即使是谨慎地保持其代码处于锁定状态和锁定状态的公司,也可能无决-拥有“秘密”访问权限的人越多,数据被泄露的渠道就越多。这就是通常所说的“秘密蔓延”。
GitGuardian联合创始人兼首席执行官杰里米托马斯(JrmyThomas)对VentureBeat表示:“在组织中,秘密变得太容易访问了,对安全专业人员来说是一个巨大的问题。”“就源代码而言,如果其中包含秘密,那么只要他们有权访问的所有秘密都被泄露,只需一个开发者帐户就可以被泄露。”
早在2017年,Uber宣布了一项重大数据泄露事件,泄露了数百万名驾驶员和驾驶员的个人数据。该公司后来承认,它没有在其GitHub帐户上使用多因素身份验证-这意味着遇到登录凭据的任何人都可以不受阻碍地访问其私有存储库-入侵者通过GitHub存储库设法找到了Uber的AWS数据存储的访问密钥,其中保留了其用户数据。
在2018年提交给联邦贸易委员会(FTC)的文件中,Uber首先了入侵者如何设法访问私有GitHub存储库。Uber已通过安全性较弱的个人GitHub帐户授予其工程师访问私有存储库的权限。备案文件指出:
Uber通过工程师的个人GitHub帐户授予其工程师访问Uber的GitHub存储库的权限,工程师通常通过个人电子邮件地址进行访问。Uber没有工程师重复使用凭据的政策,也没有要求工程师在访问Uber的GitHub存储库时启用多因素身份验证。2016年安全漏洞的入侵者表示,他们使用以前在其他大数据漏洞中公开的密码访问Uber的GitHub页面,随后他们发现了用于访问和从Uber的Amazon S3数据存储下载文件的AWS访问密钥。
结果,入侵者访问了16个文件,这些文件包含未加密的个人数据,包括近2600万个姓名和电子邮件地址,2200万个姓名和移动电线个姓名和驾驶执照号码。
除了密码卫生差之外,Uber的AWS访问密钥可能首先应该不在GitHub存储库附近的任何(无论私有还是其他)。这种违规行为突显了公司面临的风险。损害客户数据并失去信任是一个主要问题,但是安全性差也可能导致监管和法律纠纷。
托马斯指出:“在源代码或其他私有站点中,并非专门用于秘密存储的硬编码秘密会各种合规性规则,行业标准和最佳实践。”
最初其巨大泄漏的优步,被普遍认为违反了许多数据安全和违规报告法律,最终以支付1.48亿美元的罚款解决了这一案件。GitGuardian表示可以帮助避免这种情况,因为它声称可以在秘密泄漏到代码存储库的四秒钟内检测到警报并将其发送给开发人员和安全团队。
托马斯说:“目前,每家从事软件开发活动的公司都关心组织内部(最坏的情况是到公共场所)的机密。”“作为一家手头拥有如此多信息的公司,我们已经建立了一种无条件保密的文化作为我们的核心。”
GitGuardian表示,它已经帮助了超过100家《财富》 500强公司,组织以及成千上万的个人开发商。此外,该行还计划通过其银行中的1200万美元来扩大其在美国的客户群,该公司目前有75%的客户来自美国。
微软拥有的代码协作平台大约有4000万开发人员使用GitHub,并且拥有超过1亿个存储库,对于任何希望训练算法的公司而言,它都是沃土。几个月前,初创公司DeepCode为该系统筹集了400万美元,该系统可从GitHub项目数据中学习,从而为开发人员提供自动代码审查。就如何使用GitHub大规模培训算法而言,GitGuardian正在采用类似的,以便公司可以进一步自动化其网络安全设置。
“ GitGuardian不会使技术组织受到严格的合规性程序的,而是允许现代企业快速开发代码以及其希望的方式,但是可以自动查看和如何使用,移动和共享数据,凭证和其他信息, Balderton Capital合伙人Suranga Chandratillake说。
网友评论 ()条 查看