谈一谈github泄露安全小课堂十五期.pdfVIP

谈一谈—安全小课堂第十五期

安全小课堂第十五期安全领域有一种无坚不摧叫做在手，俺啥都不会照样轻松搞穿你的内网…本期我们来聊

一聊。

本期邀请到了来自唯品会安全专家先知晓狼、前和赶集网安全专家xsjswt。今儿还有京东安全的小伙伴一起参

与讨论哟~

1豌豆妹git是如何被引起的呢?葫芦娃据我了解，主要从两方面可引起git：

1）git工具以或相关git项目托管平台自身问题，存在，可被利用。例如之前被曝由于一个

coder对Rails的mass-assignment（批量赋值）使用不当造成可以被轻易的篡夺任何代码库的权限。但这种情况比

较少，首先利用成本较高，其次相关相对成熟，可利用的较少。

2）企业开发、运维人员安全意识不足，将公司源代码提交到git项目托管平台上，而且没有进行敏感字过滤，

其中包含的大部分账号都以明文形式直接提交，这是主要。这里就不多说了。

哆啦A梦现在使用git来管理代码、项目是一种趋势。git可以深度的结合到开发流程的各个环节中。各个公司基本

享、托管平台。可以说，git只是这类企业信息的一个点，信息并不仅仅局限在上。

小丸子在我看来，git信息可以从两个方面来分类：

1）数据类型不同区分：产品代码、密钥、基础设施信息、公司业务数据、公司信息；

2）涉及系统类型：业务生产系统、业务测试系统、IT系统、知识管理系统等。

3豌豆妹快来说说git信息的危害~哆啦A梦危害嘛，那自然最直接的就是可能数据库。其次，看到了项目

源码，对于有心的人来说，无论是黑猫还是花猫，都可以通过分析源码，来提高对目标站点的业务流程的了解，降

低挖洞/的难度，搜集公司的信息等。再次，会向广大IT技术群体自己公司开发人员的智商下限。

小新对，尤其是系统。如果是那些对外开放服务的系统源码、文档，起码公司、安全团队，都是重点

会解决外部服务的安全性。而对内系统的安全性，很多时候是缺乏保障的，内网应用的安全评估标准比低一

些。

葫芦娃git信息的危害程度视的信息敏感性以及数据类型、可利用难度来判断。危害程度可能小至无关痛

痒，大的话可直接从源码获取敏感配置信息，通过进一步审计代码，挖掘文件上传、SQL注入等安全。更有甚

者通过内网漫游，获取竞争力代码、敏感业务数据，导致不可估量的影响。

4豌豆妹那如何防御git信息呢？哆啦A梦就像我就曾经在上弄到过某公司的域控管理和域控

数据备份，这个问题其实说难也难，说不难也不难。员工把信息上传到，这个过程中，关键点是员工是否

了自己在做什么，所以归根到底是对员工的管理、员工培训的问题。一旦发生，事后是很难甚至无

法补救的。

小新对，如果要通过技术实现、上传共享其实并不难，但对于互联网企业的我们是不会做这方面完全

的管控。你能封掉，他可以自己搭个svn之类的，技术只能解决特例问题，就算有办法封禁所有的

代码项目托管站，主要还是从安全意识，制度管控。一方面我们需要通过互联网获取的代码填补技术人员自身

的不足，同时git确实是一个协同开发，提升效率的好东⻄。因此我们通过自建git项目平台给所有开发者使

用，加入权限控制。

5豌豆妹那如何应对git信息呢？小丸子git信息目前我们已形成处理流程，主要是直接利用搜索

关键字进行分析的。

豌豆妹合并查找效率高吗？小丸子还可以，合并与单独查效率