B站服务器端代码泄露:或影响网站安全(Update:B站已官方回应) ...
发布时间:2022-10-05 12:53:25 所属栏目:安全 来源:
导读: 作为商业网站,源代码是重要资产之一,源代码的泄露相当于公司资产泄露,会对网站造成不好的影响。今天在著名的代码托管网站Github上,出现了一个名为go-common的代码库,而从介绍代码提交人及简介可以看到这是一
|
作为商业网站,源代码是重要资产之一,源代码的泄露相当于公司资产泄露,会对网站造成不好的影响。今天在著名的代码托管网站Github上,出现了一个名为go-common的代码库,而从介绍代码提交人及简介可以看到这是一份著名视频网站Bilibili的服务器端的完整源代码,整个代码库结构清晰,从每个文件夹就可知道负责哪部分服务。 整个代码库非常的完整,大小有46M之巨,完整覆盖了目前B站后端负责服务。现在最初的提交源头已经被takedown(Github为了保护一些机构、公司代码资产,如果源码出现了泄露,则可以提交takedown申请要求删除泄露代码),整个代码库已经被删除。而从提交人的信息中并不能看到更多的信息,只能看到提交账号openBilbili都是7小时前创建的。 不过基于Github的分布式特性,这件事传出后该代码仓库已经被Fork(这个操作会将被Fork的代码仓库中所有的信息,包括源代码、原仓库中的issus、历史提交等全部复制到你的账号中,方便进行学习修改,这样不会破坏原仓库中的代码)了非常多份,所以仅仅删除源头,还不能完全阻止代码库继续泄露。(不过Github速度很快,被Fork的代码库很多都已经被删除)。 这对于一家商业公司来讲问题很严重。首先暴露出B站对公司内部代码仓库权限管理存在问题。如此完整的代码仓库泄露无论是可见很多程序员都有访问完整代码的权限。其次会对B站自身有影响。一些大的公司一方面有安全应急部门,另一方面会有专门的信息安全公司做安全审计。代码泄漏后,任何人都可以下载代码(现在删的很快网站安全代码,所以拥有完整源码的非B站工作人员应该不多),做代码审计,如果有人心怀歹意,从代码中审计出漏洞但并不会提交给B站,这可能会造成信息泄露风险。 所以基于此希望B站能够尽快跟进此事,再次对泄露源码进行安全审计并修复漏洞,保障用户的信息安全。 Update: B站官方目前已经回应了代码泄露问题,称泄露版本的代码为较老的历史版本,目前已执行主动防御措施,确认此事不会影响到网站的安全和用户数据安全。同时B站已经报案,将彻查源头。也欢迎用户学习B站官方开源的项目。 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
浙公网安备 33038102331048号