GitGuardian融资1200万美元来寻找隐藏在在线代码中的敏感数据

帮助企业检测隐藏在公共和私有代码库中的敏感数据的网络安全平台GitGuardian在伦敦Balderton Capital牵头的首轮融资中筹集了1200万美元,参与融资的还有GitHub联合创始人斯科特•查肯(Scott Chacon)和Docker联合创始人所罗门•海克斯(Solomon Hykes)。

GitGuardian于2017年在巴黎成立,它实时扫描GitHub的所有公共活动,以识别私人数据,如数据库登录凭证、API密钥、密码密钥等。该公司与200多家API提供商合作,涵盖支付系统、云服务、消息传递应用程序、加密钱包等,以确保任何泄露到公共领域的私人信息都能被迅速识别并通知公司。这家法国初创公司表示,自成立以来,他们已经发出了40多万条提醒。

GitGuardian希望保护的私有数据类型在业内被称为“机密”,包括任何未经授权的第三方可以用来访问系统(例如云或数据库)的东西——如密码和API令牌。

在后台,GitGuardian将GitHub注册的开发人员与他们的公司连接起来,每天扫描250万份提交的代码,努力寻找用户名和密码、数据库连接字符串密钥、SSL证书等等。该公司表示,它使用“复杂的模式匹配”和机器学习技术,其算法通过开发人员的“反馈回路”不断学习。实际上,GitGuardian的客户可以通过告知警报是否有效来帮助改进该技术。

尽管监控公共GitHub存储库是GitGuardian的主要功能,但它也可以识别通过内部系统(包括私有代码存储库和消息应用程序)无意中传播的敏感信息。即使是那些小心翼翼地将自己的代码锁起来的公司,如果组织中有太多的人能够接触到这些代码,那么它们也会陷入困境——接触到“秘密”的人越多,数据泄露的途径就越多。这就是通常所说的“秘密蔓延”。

GitGuardian联合创始人兼首席执行官杰里米·托马斯(Jérémy Thomas)表示:“对于安全专业人士来说,在一个组织中被广泛获取的秘密是一个大问题。在源代码的情况下,如果其中有秘密,只需一个开发人员帐户就会被泄露,因为他们可以访问的所有秘密也会被泄露。”

2017年,优步宣布了一起重大数据泄露事件,数百万乘客和司机的个人数据被泄露。该公司随后承认它没有在其GitHub帐户上使用多因素身份验证——这意味着任何人遇到登录凭据能够不受阻碍地访问其私人存储库,通过GitHub库,入侵者设法找到优步的AWS数据存储的访问密钥,那里保留了其用户数据。

在2018年联邦贸易委员会(FTC)的一份文件中,优步披露了入侵者最初是如何设法访问私有GitHub存储库的。优步允许其工程师通过他们自己的个人GitHub账户访问这些私人仓库,而这些账户的安全性很低。文件指出:

优步允许其工程师通过工程师的个人GitHub账户访问优步的GitHub知识库,工程师通常通过个人电子邮件地址访问这些账户。优步没有禁止工程师重复使用凭证的政策,也没有要求工程师在访问优步的GitHub知识库时启用多因素身份验证。2016年造成这次攻击的入侵者表示,他们使用了之前在其他大规模数据泄露中暴露的密码,进入了优步的GitHub页面,然后发现了他们用来从优步的Amazon S3数据存储中访问和下载文件的AWS访问密钥。

结果,入侵者访问了16个包含未加密个人数据的文件,包括近2600万个姓名和电子邮件地址,2200万个姓名和手机号码,以及607000个姓名和驾照号码。

除了糟糕的密码安全之外,优步的AWS访问密钥可能根本就不应该放在GitHub的存储库——无论是私有的还是其他的。这种违规行为凸显了企业面临的风险。损害客户数据和失去信任是一个主要问题,但糟糕的安全性也可能导致监管和法律纠纷。

Thomas指出:“在源代码或其他私有站点中对秘密进行非专门用于秘密存储的硬编码违反了各种遵从性规则、行业标准和最佳实践。”

优步最初掩盖了其庞大的泄密行为,人们普遍认为它违反了大量的数据安全和报告法律,它最终支付了1.48亿美元的罚款,了结了这起案件。GitGuardian说它可以帮助避免这种情况,因为它声称可以在一个秘密泄露到代码库的四秒钟内检测并向开发人员和安全团队发送警报。

Thomas说:“目前,每家从事软件开发活动的公司都担心秘密会在公司内部扩散,最坏的情况下,还会扩散到公共空间。作为一家拥有如此多敏感信息的公司,我们在核心建立了一种无条件保密的文化。”

GitGuardian表示,它已经帮助了100多家财富500强公司、政府机构和成千上万的个人开发者。此外,该公司还计划在美国增加1,200万美元的客户基础该公司目前75%的客户都在美国。

大约有4000万开发人员使用GitHub,这个微软拥有的代码协作平台拥有超过1亿个代码库,对于任何希望训练算法的公司来说,它都是一块沃土。几个月前,瑞士初创公司DeepCode融资了400万美元,用于开发一个从GitHub项目数据中学习的系统,为开发人员提供自动化的代码审查。GitGuardian在如何使用GitHub来大规模训练算法方面采用了类似的理念,这样公司就可以进一步自动化他们的网络安全设置。

Balderton Capital的合伙人Suranga Chandratillake说:“GitGuardian没有为技术组织设置限制合规程序的障碍,而是允许现代企业以自己想要的方式快速开发代码,同时在数据、证书和其他敏感信息的使用、移动和共享方面提供自动化的可视性和保护。”

发表评论

电子邮件地址不会被公开。 必填项已用*标注