投资
您现在的位置:首页 > 投资 > GitGuardian筹集了1200万美元用于查找隐藏在在线代码中的敏感数据
  • 腾讯创作者生态的前车之鉴,能否支撑《元梦之星》逐梦UGC?

    腾讯创作者生态的前车之鉴,能否支撑《元梦之星》逐梦UGC?

    发布时间:2023/09/24

    近期,腾讯以“天美乐园”的特别形式公布了新作《元梦之星》,宣告正式入主派对游戏赛道。过去,派对游戏在国内市场份额较小,直到《糖豆人》《香肠派对》《蛋仔派对》等作品引发用户和市场的高度关注,整个赛道才...

  • 普悦智能,专注净水,为渠道经销搭载新引擎!

    普悦智能,专注净水,为渠道经销搭载新引擎!

    发布时间:2023/08/28

    稳步推进:祝贺普悦智能(北京联营公司)第一轮股东入股签约圆满成功! 2023年8月18日,浙江普悦智能科技有限公司北京联营公司——北京普悦京允智能科技有限公司在总经理宋玉财的热忱推进下,成功签约了五名销售/服...

  • 新鸿基地产园区中心封面地标, 苏州环贸汇众盼而至

    新鸿基地产园区中心封面地标, 苏州环贸汇众盼而至

    发布时间:2021/12/28

    当苏州迈向全球都会序列之际,当苏州园区盛启一城想象之时。实力港企新鸿基地产携苏州首个超高层多业态综合体住宅——新鸿基地产苏州环贸汇澎湃而来,势将为苏州高净值投资人群挚献园区中心CBD地标之作,擎领苏州未...

  • 看图操作,三步即可开通微粒贷

    看图操作,三步即可开通微粒贷

    发布时间:2021/12/01

    ​微粒贷是由国内首家互联网银行微众银行推出的一款小额信贷产品,具有无抵押无担保、随借随还等特点,深受大家的喜欢。在此,小编结合官方资料,为想用微粒贷却不知怎么开通的朋友提供一些帮助。微粒贷开通 第一...

  • 英国与快速反应小组一起抗击冠状病毒

    英国与快速反应小组一起抗击冠状病毒

    发布时间:2020/04/01

      英国政府宣布了新的措施,以打击虚假的COVID-19在线信息的传播,包括建立专门的专家小组来处理错误信息。 新成立的快速反应小组将在英国内阁办公室内部运作,并将研究应对互联网上“有害叙述”的方法-解决“...

  • 微软即将吸引消费者-但Skype仍将保留

    微软即将吸引消费者-但Skype仍将保留

    发布时间:2020/03/31

      微软今天宣布,今年晚些时候,它将推出Teams的基本消费版,即类似于Slack的文本,音频和视频聊天应用程序。就像Microsoft所喜欢的,您的个人生活团队将使用许多工具,这些工具将使家庭和小组更轻松地组织...

  • 安全漏洞暴露了共和党选民公司的内部应用代码

    安全漏洞暴露了共和党选民公司的内部应用代码

    发布时间:2020/03/31

      一家专供共和党政治运动使用的选民联系和拉票公司,错误地在其网站上留下了未经保护的应用程序代码副本,供任何人找到。 Campaign Sidekick公司通过iOS和Android应用程序帮助共和党竞选活动布署其选区,这...

  • 在宾夕法尼亚州,州酒商店仍然关闭,人们越来越口渴

    在宾夕法尼亚州,州酒商店仍然关闭,人们越来越口渴

    发布时间:2020/03/31

      随着美国人渴望长时间的自我隔离,白酒业务的销量激增。根据尼尔森(Nielsen)的数据,到3月中旬,这一增长已经比去年同期高出26%以上。但是,联盟中至少有一个州与这种趋势背道而驰,而且与消费者的意愿无...

GitGuardian筹集了1200万美元用于查找隐藏在在线代码中的敏感数据

发布时间:2019/12/05 投资 浏览次数:1038

 
GitGuardian是一个网络安全平台,可帮助公司检测隐藏在公共和私人代码存储库中的敏感数据,在伦敦的Balderton Capital领导的A轮融资中筹集了1200万美元,GitHub联合创始人Scott Chacon和Docker联合创始人Solomon Hykes参与了该活动。
GitGuardian于2017年在巴黎外成立,实时扫描GitHub的所有公共活动,以识别私有数据,例如数据库登录凭据,API密钥,加密密钥等。该公司与200多家API供应商合作,涉及支付系统,云服务,消息传递应用程序,加密钱包等,以确保迅速发现泄漏到公共领域的任何私人信息并通知公司。这家法国创业公司表示,自成立以来已经发出了40万条警报。
秘制酱
GitGuardian希望保护的私有数据类型在业内被称为“秘密”,包括未经授权的第三方可以用来访问系统(例如云或数据库)的任何内容,包括密码和API令牌。
在后台,GitGuardian将GitHub注册的开发人员与其公司联系起来,每天扫描覆盖250万次代码提交的内容,以查找用户名和密码,数据库连接字符串密钥,SSL证书等。该公司表示,它使用“复杂的模式匹配”和机器学习技术,其算法通过开发人员的“反馈循环”不断学习。实际上,GitGuardian的客户通过告知警报是否有效来帮助改进该技术。
尽管监视公共GitHub存储库是GitGuardian产品的主要方面,但它也可以识别通过内部系统无意中传播的敏感信息,包括私有代码存储库和消息应用程序。如果组织内有太多人可以访问这些代码,即使是谨慎地保持其代码处于锁定状态和锁定状态的公司,也可能无法解决-拥有“秘密”访问权限的人越多,数据被泄露的渠道就越多。这就是通常所说的“秘密蔓延”。
GitGuardian联合创始人兼首席执行官杰里米·托马斯(JérémyThomas)对VentureBeat表示:“在组织中,秘密变得太容易访问了,对安全专业人员来说是一个巨大的问题。” “就源代码而言,如果其中包含秘密,那么只要他们有权访问的所有秘密都被泄露,只需一个开发者帐户就可以被泄露。”
违反
早在2017年,Uber宣布了一项重大数据泄露事件,泄露了数百万名驾驶员和驾驶员的个人数据。该公司后来承认,它没有在其GitHub帐户上使用多因素身份验证-这意味着遇到登录凭据的任何人都可以不受阻碍地访问其私有存储库-并且入侵者通过GitHub存储库设法找到了Uber的AWS数据存储的访问密钥,其中保留了其用户数据。
在2018年提交给联邦贸易委员会(FTC)的文件中,Uber首先揭示了入侵者如何设法访问私有GitHub存储库。 Uber已通过安全性较弱的个人GitHub帐户授予其工程师访问私有存储库的权限。备案文件指出:
Uber通过工程师的个人GitHub帐户授予其工程师访问Uber的GitHub存储库的权限,工程师通常通过个人电子邮件地址访问该帐户。 Uber没有禁止工程师重复使用凭据的政策,也没有要求工程师在访问Uber的GitHub存储库时启用多因素身份验证。犯下2016年安全漏洞的入侵者表示,他们使用以前在其他大数据漏洞中公开的密码访问Uber的GitHub页面,随后他们发现了用于访问和从Uber的Amazon S3数据存储下载文件的AWS访问密钥。
结果,入侵者访问了16个文件,这些文件包含未加密的个人数据,包括近2600万个姓名和电子邮件地址,2200万个姓名和手机号码以及607,000个姓名和驾驶执照号码。
除了密码卫生差之外,Uber的AWS访问密钥可能首先应该不在GitHub存储库附近的任何位置(无论私有还是其他方式)。这种违规行为突显了公司面临的风险。损害客户数据并失去信任是一个主要问题,但是安全性差也可能导致监管和法律纠纷。
托马斯指出:“在源代码或其他私有站点中,并非专门用于秘密存储的硬编码秘密会破坏各种合规性规则,行业标准和最佳实践。”
最初掩盖其巨大泄漏的优步,被普遍认为违反了许多数据安全和违规报告法律,最终以支付1.48亿美元的罚款解决了这一案件。 GitGuardian表示可以帮助避免这种情况,因为它声称可以在秘密泄漏到代码存储库的四秒钟内检测到警报并将其发送给开发人员和安全团队。
托马斯说:“目前,每家从事软件开发活动的公司都关心组织内部(最坏的情况是传播到公共场所)的机密。” “作为一家手头拥有如此多敏感信息的公司,我们已经建立了一种无条件保密的文化作为我们的核心。”
GitGuardian表示,它已经帮助了超过100家《财富》 500强公司,政府组织以及成千上万的个人开发商。并计划再增加1200万美元的银行存款,以扩大其在美国的客户群,目前美国有75%的客户来自美国。
微软拥有的代码协作平台大约有4000万开发人员使用GitHub,并且拥有超过1亿个存储库,对于任何希望训练算法的公司来说,它都是沃土。几个月前,瑞士初创公司DeepCode为该系统筹集了400万美元,该系统可从GitHub项目数据中学习,从而为开发人员提供自动代码审查。对于如何使用GitHub大规模培训算法,GitGuardian也采用了类似的理念,以便公司可以进一步自动化其网络安全设置。
“ GitGuardian不必让技术组织受到严格的合规性程序限制,而是允许现代企业快速开发代码以及其希望的方式,但是可以自动查看和保护如何使用,移动和共享数据,凭证和其他敏感信息, Balderton Capital合伙人Suranga Chandratillake说。