Okta 私有 GitHub 存储库遭攻击，源代码泄露

       日前，知名身份识别与访问管理（IAM）解决方案提供商 Okta 披露，其私有 GitHub 存储库本月遭到黑客攻击，部分源代码遭泄露。尽管 Okta 公司表示，本次泄露事件不会造成其客户的隐私数据安全，Okta 有充分的技术手段来保护用户服务安全。但安全研究人员认为，源代码泄露造成隐形危害在短时间内尚难以准确评估。

       GitHub 拥有9000万活跃用户，是目前全球最受欢迎的源代码管理工具。由于它是信息系统底层基础设施的重要部分，因此长期以来受到非法攻击团伙的重点关注。本次Okta源代码泄漏事件，只是近年针对GitHub代码库非法访问攻击中的最新案例。Dropbox、Gentoo Linux和微软的GitHub账户之前也都遭受过类似的攻击。

      攻击者不仅企图获取源代码，同时也觊觎代码中的敏感信息，以便在后续攻击活动中使用。通过访问应用系统的源代码，攻击者可以查找其中的漏洞，然后在后续攻击中利用这些漏洞。同时，攻击者还可以获取存储在GitHub中的硬编码密钥、密码及其他凭据，从而访问托管在AWS、Azure或GCP中的云服务和数据库。

亚讯观点：

       Okta 的 GitHub 代码库被入侵是一个教训深刻的例子，表明了保护企业内部的访问安全到底有多难，但这并不是独特的案例。虽然GitHub提供了一些保护代码管理库应用安全的防护工具，但很多企业并不充分知道如何使用工具，而且一些最重要的安全功能需要额外付费才能够使用。