1、专项预览

在这个安全专项中，主要分为两大块--项目背景（为什么要做？）和防范措施（怎么去做好？），可以通过下面这张图来简要的进行整体预览。

2、总体概况

源代码对于企业而言，无疑是最宝贵、密级较高的信息资产之一，其泄露途径有很多种可能：

然而github源代码泄露却是企业敏感信息泄露的典型代表，一般而言主要是开发大神们缺乏安全意识所致。在企业的安全建设项目中，防止github信息泄露主要可以从：制定相关制度-->安全意识培训-->技术手段监测-->相关问题处置角度出发，持续进行维护并形成一个完整的闭环。

3、风险评估

源代码泄露的途径很多，给企业带来的危害亦是不小。往大处讲，企业的核心产品信息可能遭到竞争对手复制，企业相关系统可能遭受外部攻击；从小处说，企业一些细微之处的敏感信息可能被有心人搜集为后续的攻击准备，比如企业员工邮箱、企业SMTP服务器旧用户名与密码、企业不常见的域名等，大致可以归纳为：

4、防范措施

当企业主动或被动发现github信息泄露事件时，需要及时采取相应的措施进行补救&加固。经过与部分网友前辈的讨论，按照自己的思路与视角整理出如下方法：

1）制度管控

“无规矩不成方圆”，先制定相关制度禁止将公司业务相关代码提交至公网github，并在公司范围内宣贯，可以通过邮件、海报、易拉宝、各开发部门依次推广等方法。

制度内容可参照百度文库中的一篇文章--《源代码安全管理办法》https://wenku.baidu.com/view/6bbd5ce9a6c30c2258019e8e.html

2）意识培训

涉及开发与运维人员，准备大量github信息泄露导致企业系统被攻击的案例，针对开发部门进行现场剖析与宣讲。也可以在公司内开展安全期刊、海报等宣传工作，比如我们做的一张海报：

3）GitHub巡检

有关巡检部分，其实暂时还没有做到实时监测。目前处于发展的初级阶段，使用互联网上的开源工具进行搜索。常见的有：GitMiner-Master、githubscan-master、Hawkeye-master等，经过特性对比与产品选型，最终选择使用Hawkeye-master。

PS：关于开源产品的选型对比是在去年进行，不过最近美丽联合开源了另一大利器—GSIL（https://github.com/FeeiCN/GSIL），效果更佳。

4）数据防泄漏

DLP是作为github信息泄露监测的重要辅助方法。恰逢公司内部正在推动数据防泄漏项目，对企业代码这一块的监管也将纳入其重点。出乎意料的是，除了可以看到开发上传代码至github上外，还会发现不少在用百度网盘、移动存储介质拷贝。DLP的实施对github敏感信息泄露检测提供强有力的保障，相比使用开源系统或google语法更有效、更高效。

 5）内部自检git平台

“不能让业务没地方玩，不然没人跟安全玩。”不允许开发上传公司业务相关代码至公网github，但是应该在内部搭建git平台供大家交流使用。此处有一个界定--公司业务相关代码：可以约定俗称，在公司的开发规范化中规定变量名统一特殊命名方法，以及插入特定的关键单词到代码中。

5、总结反思

这又是一个以安全事件为驱动，也是一个管理制度与技术手段完美结合的案例。Github是信息泄露的主战场，更多的敏感信息泄露途径还需要不断去挖掘与阻断。如果要对这个项目进行总结的话，个人认为有几句话可供参考：

制度先行，向全公司进行宣贯；

奖惩分明，有理可依有据可查；

有力检测，技术手段提供保障。