投资
您现在的位置:首页 > 投资 > GitGuardian筹集了1200万美元用于查找隐藏在在线代码中的敏感数据

财经

更多>>

投资

更多>>

GitGuardian筹集了1200万美元用于查找隐藏在在线代码中的敏感数据

发布时间:2019/12/05 投资 浏览次数:66

 

GitGuardian是一个网络安全平台,可帮助公司检测隐藏在公共和私人代码存储库中的敏感数据,在伦敦的Balderton Capital领导的A轮融资中筹集了1200万美元,GitHub联合创始人Scott Chacon和Docker联合创始人Solomon Hykes参与了该活动。

GitGuardian于2017年在巴黎外成立,实时扫描GitHub的所有公共活动,以识别私有数据,例如数据库登录凭据,API密钥,加密密钥等。该公司与200多家API供应商合作,涉及支付系统,云服务,消息传递应用程序,加密钱包等,以确保迅速发现泄漏到公共领域的任何私人信息并通知公司。这家法国创业公司表示,自成立以来已经发出了40万条警报。

秘制酱

GitGuardian希望保护的私有数据类型在业内被称为“秘密”,包括未经授权的第三方可以用来访问系统(例如云或数据库)的任何内容,包括密码和API令牌。

在后台,GitGuardian将GitHub注册的开发人员与其公司联系起来,每天扫描覆盖250万次代码提交的内容,以查找用户名和密码,数据库连接字符串密钥,SSL证书等。该公司表示,它使用“复杂的模式匹配”和机器学习技术,其算法通过开发人员的“反馈循环”不断学习。实际上,GitGuardian的客户通过告知警报是否有效来帮助改进该技术。

尽管监视公共GitHub存储库是GitGuardian产品的主要方面,但它也可以识别通过内部系统无意中传播的敏感信息,包括私有代码存储库和消息应用程序。如果组织内有太多人可以访问这些代码,即使是谨慎地保持其代码处于锁定状态和锁定状态的公司,也可能无法解决-拥有“秘密”访问权限的人越多,数据被泄露的渠道就越多。这就是通常所说的“秘密蔓延”。

GitGuardian联合创始人兼首席执行官杰里米·托马斯(JérémyThomas)对VentureBeat表示:“在组织中,秘密变得太容易访问了,对安全专业人员来说是一个巨大的问题。” “就源代码而言,如果其中包含秘密,那么只要他们有权访问的所有秘密都被泄露,只需一个开发者帐户就可以被泄露。”

违反

早在2017年,Uber宣布了一项重大数据泄露事件,泄露了数百万名驾驶员和驾驶员的个人数据。该公司后来承认,它没有在其GitHub帐户上使用多因素身份验证-这意味着遇到登录凭据的任何人都可以不受阻碍地访问其私有存储库-并且入侵者通过GitHub存储库设法找到了Uber的AWS数据存储的访问密钥,其中保留了其用户数据。

在2018年提交给联邦贸易委员会(FTC)的文件中,Uber首先揭示了入侵者如何设法访问私有GitHub存储库。 Uber已通过安全性较弱的个人GitHub帐户授予其工程师访问私有存储库的权限。备案文件指出:

Uber通过工程师的个人GitHub帐户授予其工程师访问Uber的GitHub存储库的权限,工程师通常通过个人电子邮件地址访问该帐户。 Uber没有禁止工程师重复使用凭据的政策,也没有要求工程师在访问Uber的GitHub存储库时启用多因素身份验证。犯下2016年安全漏洞的入侵者表示,他们使用以前在其他大数据漏洞中公开的密码访问Uber的GitHub页面,随后他们发现了用于访问和从Uber的Amazon S3数据存储下载文件的AWS访问密钥。

结果,入侵者访问了16个文件,这些文件包含未加密的个人数据,包括近2600万个姓名和电子邮件地址,2200万个姓名和手机号码以及607,000个姓名和驾驶执照号码。

除了密码卫生差之外,Uber的AWS访问密钥可能首先应该不在GitHub存储库附近的任何位置(无论私有还是其他方式)。这种违规行为突显了公司面临的风险。损害客户数据并失去信任是一个主要问题,但是安全性差也可能导致监管和法律纠纷。

托马斯指出:“在源代码或其他私有站点中,并非专门用于秘密存储的硬编码秘密会破坏各种合规性规则,行业标准和最佳实践。”

最初掩盖其巨大泄漏的优步,被普遍认为违反了许多数据安全和违规报告法律,最终以支付1.48亿美元的罚款解决了这一案件。 GitGuardian表示可以帮助避免这种情况,因为它声称可以在秘密泄漏到代码存储库的四秒钟内检测到警报并将其发送给开发人员和安全团队。

托马斯说:“目前,每家从事软件开发活动的公司都关心组织内部(最坏的情况是传播到公共场所)的机密。” “作为一家手头拥有如此多敏感信息的公司,我们已经建立了一种无条件保密的文化作为我们的核心。”

GitGuardian表示,它已经帮助了超过100家《财富》 500强公司,政府组织以及成千上万的个人开发商。并计划再增加1200万美元的银行存款,以扩大其在美国的客户群,目前美国有75%的客户来自美国。

微软拥有的代码协作平台大约有4000万开发人员使用GitHub,并且拥有超过1亿个存储库,对于任何希望训练算法的公司来说,它都是沃土。几个月前,瑞士初创公司DeepCode为该系统筹集了400万美元,该系统可从GitHub项目数据中学习,从而为开发人员提供自动代码审查。对于如何使用GitHub大规模培训算法,GitGuardian也采用了类似的理念,以便公司可以进一步自动化其网络安全设置。

“ GitGuardian不必让技术组织受到严格的合规性程序限制,而是允许现代企业快速开发代码以及其希望的方式,但是可以自动查看和保护如何使用,移动和共享数据,凭证和其他敏感信息, Balderton Capital合伙人Suranga Chandratillake说。