【SolarWinds餘波】產品原始碼被睇 Microsoft稱inner source模式不重機密
SolarWinds 事件繼續發酵,Microsoft 最新公布,黑客通過提升內部網絡的帳戶權限,成功登入其他帳戶,令他們可以接觸 Microsoft 其他產品的原始碼 (source code)。不過 Microsoft 稱對其產品及客戶不會有大影響。
上月 Solarwinds 的 Orion Platform 被黑客入侵,將載有木馬程式的編碼滲透到更新檔案內,並透過自動更新功能擴大感染範圍,Microsoft、FireEye、Cisco、Intel、VMware 等企業同受牽連。在各企業的內部調查進行期間,Microsoft 進一步偵測到內部網絡有不尋常活動,發現其中一個帳戶曾多次查閱原始碼倉庫 (repositories) 內存放的原始碼。
Microsoft 表示,由於被入侵的新帳戶並無任何修改或儲存權限,只能查閱原始碼倉庫內的數據,加上亦沒有查閱客戶、各產品系統的權限,所以不會導致客戶資料外洩,同時也不可能利用其產品攻擊客戶,認為客戶毋須擔心。
Microsoft 進一步解釋,由於他們開發流程一向採用 inner source 模式,即允許內部開發人員可以接觸倉庫內的原始碼,提升開發產品的透明度及進度,減少發生錯誤的風險,可說是最佳的開發流程模式,同時其透明度亦引證了他們的產品,並不是單靠機密性來保障產品安全,而是考慮到各種威脅形式而堵塞攻擊漏洞,所以即時原始碼外洩,亦不會影響其上架產品的安全度。
補充一句,inner source 開發模式其實是開源 (open source) 模式的內部發展,open source 基本上可讓任何人使用,而 inner source 則只限內部開發人員。其目的都是希望通過協作,提升原始碼的應用及堵塞漏洞。採用 inner source 開發模式的企業,並不會規限開發人員一定要重複使用倉庫內的原始碼,除非開發人員認為所使用的原始碼已是最高質量,否則他們應重新編寫,或改動原始碼的內容,才能達致不斷提升應用範圍及創新的目標。