源代码就是指编写的最原始程序的代码，主要对象是面向开发者，我们平常使用的应用程序都是经过源码编译打包以后发布呈现的。

微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等 50 家科技公司都中招了。

雷锋网注：GitLab 是一个用于仓库管理系统的开源项目，全球第二大开源代码托管平台，谷歌重金投资加持的开源独角兽，阿里巴巴还一度是其重要客户。

此外，开发人员 Tillie Kottmann 提到，一些代码库中确实存在硬编码凭证，他在发布前已尽可能地将其删除，“以避免造成直接伤害或是助长更大的破坏”。另外，他也坦承自己并未在发布前与每一家受影响的公司进行联系，但他们确保自己“尽了最大的努力将负面影响最小化”。

使用错误的 Devops 工具暴露了代码

目前，Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG，梅赛德斯-奔驰的母公司；联想的文件夹也已经空空如也。针对有移除代码要求的公司，Kottmann 表示愿意遵守，并乐意提供信息，“帮助公司增强基础架构的安全性”。

Kottmann 称，他们试图在发布硬编码凭证之前从公司的源代码中删除这些硬编码凭证，这些凭证通常用于创建后门程序，以免发生更加强大的安全漏洞。

不过，开发人员表示，有更多公司使用错误的 Devops 工具配置了暴露源代码的公司。此外，他们正在探索运行 SonarQube 的服务器，SonarQube 是一个开源平台，用于自动代码审核和静态分析，以发现错误和安全漏洞。

不过，网络安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 指出，“从技术角度来看，这次的泄露并不算很严重……若没有每天的支持和改进，源代码也会迅速贬值”。

代码被公开之痛

我们举几个例子，大家就明白了。

根据当时的报道，这些源代码，攻击者可以 SSL 证书私钥，访问客户的敏感信息，比如用户信息、飞行日志等等。

再比如，2019 年 4 月，B 站整个网站后台工程源码泄露，并且“不少用户密码被硬编码在代码里面，谁都可以用。”

虽然很快被封禁，B 站也已经报警处理，但有不少网友克隆了代码库，隐患已经埋下，补救起来也颇为头疼。

而这些被开源的代码一旦被黑客利用，造成的损失就要看黑客的心情了。

Johnson Controls（江森自控）

Banca Nazionale del Lavoro

Adobe

GE Appliances（GE电器）

GovCloudRecords

eMasurematics

TeamApt

Covid Apps

Digital Health Department

Elgin Industries

Pwnee Studios

Tapway

Capital Technology Services

AMI

Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/

AMD

Disney（迪士尼）

Daimler

HiSilicon（海思）

Chunmi

PUKKA

Microsoft（微软）

Qualcomm（高通）

Bahwan CyberTek

gms

ЦЭККМП

Siasun

参考资料：

【2】https://gitlab.com/gitlab-com/www-gitlab-com/issues/5555