投资
您现在的位置:首页 > 投资 > GitGuardian筹集了1200万美元用于查找隐藏在在线代码中的敏感数据
  • 郑恢和:“金融+科技”迎来一个全新的生态环境

    郑恢和:“金融+科技”迎来一个全新的生态环境

    发布时间:2020/09/01

    8月28日,由《亚洲银行家》主办的2020中国未来金融峰会在深圳举行。会议以“中国金融新十年:变革、挑战与新常态”为主题,共同展望疫情下的全球经济发展。本次会议吸引了来自国内外监管机构、知名金融机构、科技公...

  • QDM实现“云上市”

    QDM实现“云上市”

    发布时间:2020/05/08

    5月6日,QDM在美国QB板首发上市仪式通过“云直播”方式成功举行。因为席卷全球的疫情,资本市场的诸多工作都搭上了“云”。“云上市”是QDM在特殊时期在工作方式上的一项创新。QDM是一家在美国上市的金融集团投资有限公...

  • 兼顾财富与健康看直播免费抽取莱克立式吸尘器

    兼顾财富与健康看直播免费抽取莱克立式吸尘器

    发布时间:2020/04/02

    疫情全球蔓延,市场动荡,如何做好个人和家庭的财富管理,利用资产配置策略实现个人财富保值增值,莱克电气联手诺亚财富,与您在疫情全球蔓延的当下,看清麻烦,也抬头找寻头上的阳光。 行情简讯 新冠疫情在全球...

  • 比尔・盖茨:除了采取隔离别无选择 必须持续隔离一段时间

    比尔・盖茨:除了采取隔离别无选择 必须持续隔离一段时间

    发布时间:2020/04/02

      来源:盖茨基金会 据盖茨基金会微信公众号发文,当地时间3月24日,比尔・盖茨做客TED Connects节目,回答与新冠肺炎有关的问题。在一个小时的直播中,盖茨围绕有效诊疗工具及疫苗的开发、国际合作抗击疫情的...

  • 英国与快速反应小组一起抗击冠状病毒

    英国与快速反应小组一起抗击冠状病毒

    发布时间:2020/04/01

      英国政府宣布了新的措施,以打击虚假的COVID-19在线信息的传播,包括建立专门的专家小组来处理错误信息。 新成立的快速反应小组将在英国内阁办公室内部运作,并将研究应对互联网上“有害叙述”的方法-解决“...

  • 微软即将吸引消费者-但Skype仍将保留

    微软即将吸引消费者-但Skype仍将保留

    发布时间:2020/03/31

      微软今天宣布,今年晚些时候,它将推出Teams的基本消费版,即类似于Slack的文本,音频和视频聊天应用程序。就像Microsoft所喜欢的,您的个人生活团队将使用许多工具,这些工具将使家庭和小组更轻松地组织...

  • 安全漏洞暴露了共和党选民公司的内部应用代码

    安全漏洞暴露了共和党选民公司的内部应用代码

    发布时间:2020/03/31

      一家专供共和党政治运动使用的选民联系和拉票公司,错误地在其网站上留下了未经保护的应用程序代码副本,供任何人找到。 Campaign Sidekick公司通过iOS和Android应用程序帮助共和党竞选活动布署其选区,这...

  • 在宾夕法尼亚州,州酒商店仍然关闭,人们越来越口渴

    在宾夕法尼亚州,州酒商店仍然关闭,人们越来越口渴

    发布时间:2020/03/31

      随着美国人渴望长时间的自我隔离,白酒业务的销量激增。根据尼尔森(Nielsen)的数据,到3月中旬,这一增长已经比去年同期高出26%以上。但是,联盟中至少有一个州与这种趋势背道而驰,而且与消费者的意愿无...

GitGuardian筹集了1200万美元用于查找隐藏在在线代码中的敏感数据

发布时间:2019/12/05 投资 浏览次数:303

 
GitGuardian是一个网络安全平台,可帮助公司检测隐藏在公共和私人代码存储库中的敏感数据,在伦敦的Balderton Capital领导的A轮融资中筹集了1200万美元,GitHub联合创始人Scott Chacon和Docker联合创始人Solomon Hykes参与了该活动。
GitGuardian于2017年在巴黎外成立,实时扫描GitHub的所有公共活动,以识别私有数据,例如数据库登录凭据,API密钥,加密密钥等。该公司与200多家API供应商合作,涉及支付系统,云服务,消息传递应用程序,加密钱包等,以确保迅速发现泄漏到公共领域的任何私人信息并通知公司。这家法国创业公司表示,自成立以来已经发出了40万条警报。
秘制酱
GitGuardian希望保护的私有数据类型在业内被称为“秘密”,包括未经授权的第三方可以用来访问系统(例如云或数据库)的任何内容,包括密码和API令牌。
在后台,GitGuardian将GitHub注册的开发人员与其公司联系起来,每天扫描覆盖250万次代码提交的内容,以查找用户名和密码,数据库连接字符串密钥,SSL证书等。该公司表示,它使用“复杂的模式匹配”和机器学习技术,其算法通过开发人员的“反馈循环”不断学习。实际上,GitGuardian的客户通过告知警报是否有效来帮助改进该技术。
尽管监视公共GitHub存储库是GitGuardian产品的主要方面,但它也可以识别通过内部系统无意中传播的敏感信息,包括私有代码存储库和消息应用程序。如果组织内有太多人可以访问这些代码,即使是谨慎地保持其代码处于锁定状态和锁定状态的公司,也可能无法解决-拥有“秘密”访问权限的人越多,数据被泄露的渠道就越多。这就是通常所说的“秘密蔓延”。
GitGuardian联合创始人兼首席执行官杰里米·托马斯(JérémyThomas)对VentureBeat表示:“在组织中,秘密变得太容易访问了,对安全专业人员来说是一个巨大的问题。” “就源代码而言,如果其中包含秘密,那么只要他们有权访问的所有秘密都被泄露,只需一个开发者帐户就可以被泄露。”
违反
早在2017年,Uber宣布了一项重大数据泄露事件,泄露了数百万名驾驶员和驾驶员的个人数据。该公司后来承认,它没有在其GitHub帐户上使用多因素身份验证-这意味着遇到登录凭据的任何人都可以不受阻碍地访问其私有存储库-并且入侵者通过GitHub存储库设法找到了Uber的AWS数据存储的访问密钥,其中保留了其用户数据。
在2018年提交给联邦贸易委员会(FTC)的文件中,Uber首先揭示了入侵者如何设法访问私有GitHub存储库。 Uber已通过安全性较弱的个人GitHub帐户授予其工程师访问私有存储库的权限。备案文件指出:
Uber通过工程师的个人GitHub帐户授予其工程师访问Uber的GitHub存储库的权限,工程师通常通过个人电子邮件地址访问该帐户。 Uber没有禁止工程师重复使用凭据的政策,也没有要求工程师在访问Uber的GitHub存储库时启用多因素身份验证。犯下2016年安全漏洞的入侵者表示,他们使用以前在其他大数据漏洞中公开的密码访问Uber的GitHub页面,随后他们发现了用于访问和从Uber的Amazon S3数据存储下载文件的AWS访问密钥。
结果,入侵者访问了16个文件,这些文件包含未加密的个人数据,包括近2600万个姓名和电子邮件地址,2200万个姓名和手机号码以及607,000个姓名和驾驶执照号码。
除了密码卫生差之外,Uber的AWS访问密钥可能首先应该不在GitHub存储库附近的任何位置(无论私有还是其他方式)。这种违规行为突显了公司面临的风险。损害客户数据并失去信任是一个主要问题,但是安全性差也可能导致监管和法律纠纷。
托马斯指出:“在源代码或其他私有站点中,并非专门用于秘密存储的硬编码秘密会破坏各种合规性规则,行业标准和最佳实践。”
最初掩盖其巨大泄漏的优步,被普遍认为违反了许多数据安全和违规报告法律,最终以支付1.48亿美元的罚款解决了这一案件。 GitGuardian表示可以帮助避免这种情况,因为它声称可以在秘密泄漏到代码存储库的四秒钟内检测到警报并将其发送给开发人员和安全团队。
托马斯说:“目前,每家从事软件开发活动的公司都关心组织内部(最坏的情况是传播到公共场所)的机密。” “作为一家手头拥有如此多敏感信息的公司,我们已经建立了一种无条件保密的文化作为我们的核心。”
GitGuardian表示,它已经帮助了超过100家《财富》 500强公司,政府组织以及成千上万的个人开发商。并计划再增加1200万美元的银行存款,以扩大其在美国的客户群,目前美国有75%的客户来自美国。
微软拥有的代码协作平台大约有4000万开发人员使用GitHub,并且拥有超过1亿个存储库,对于任何希望训练算法的公司来说,它都是沃土。几个月前,瑞士初创公司DeepCode为该系统筹集了400万美元,该系统可从GitHub项目数据中学习,从而为开发人员提供自动代码审查。对于如何使用GitHub大规模培训算法,GitGuardian也采用了类似的理念,以便公司可以进一步自动化其网络安全设置。
“ GitGuardian不必让技术组织受到严格的合规性程序限制,而是允许现代企业快速开发代码以及其希望的方式,但是可以自动查看和保护如何使用,移动和共享数据,凭证和其他敏感信息, Balderton Capital合伙人Suranga Chandratillake说。