近期《纽约时报》报道,部分推特源代码被人泄露至美国源代码托管服务公司(GitHub)平台,据知情人士披露,推特公司借以运行其社交媒体平台的部分基础性计算机编码、即源代码遭泄露,内部调查怀疑系前员工所为,此事件为该公司罕见的重大风险事故。此外,这个漏洞似乎已泄露至少几个月了。
两名了解内部的调查人士表示,推特已经开始对泄密事件进行调查。值得注意的是,因为特斯拉创始人马斯克在收购推特以后,推特约有75%的人被裁员,所以以前负责代码保密的工作人员已不在该公司任职。据了解,推特公司的高管最近才知道源代码泄露,并且源代码中包含数据漏洞,如果一旦被有心之人利用,推特的用户数据会被提取,甚至整个推特平台会直接被黑客关闭。
通常情况下,源代码是科技公司的绝密,如果有人向通过非正常手段获得不公开的源代码,都是非法行为。日前,推特的一份法庭文件显示,推特已向微软旗下的软件开发平台Github发送侵犯版权通知,要求平台撤下遭泄露的原始码。该平台按规定已立即予以删除,但这些代码似乎已经外泄最少数月。
本次的源代码泄露事件被美媒称为该公司罕见的重大风险事故,带来的负面影响持续扩大。
作为一个应用程序开发人员,在投入如此多时间和精力后,绝对不会希望自己的辛苦成果被恶意篡改。如果被恶意软件和高级持久威胁对其损失和伤害不是一星半点。
为了突破软件安全的窘境,CA机构颁发的代码签名证书对软件代码进行加密,对开发代码实施高度安全和高效的代码签名流程,从而保护其组织免受与软件篡改有关的风险。
代码签名证书是完全识别发布者的数字证书。它们由符合最小 RSA 密钥长度要求的证书颁发机构颁发。如果对代码进行了任何更改,则需要发布新的签名。
代码签名不仅可以识别应用程序的来源,还可以证明软件的安全性和可用性。如果没有证书,数字签名可能被篡改,用户将收到安全警告,让他们知道该软件可能不受信任。这就是为什么有效的代码签名证书对开发人员以及企业的重要性。
使用代码签名证书优点
1建立可信身份
数字证书将个人或实体的身份绑定在与私钥对应的公钥上。私钥和公钥系统的使用被称为公钥基础设施(PKI)。开发人员用其私钥对代码进行签名,最终用户使用开发人员的公钥来验证开发人员的身份。
2防止恶意篡改
代码签名证明签名的软件是合法的,来自一个已知的软件供应商,并且该代码自发布以来没有被篡改。代码签名可防止用户由于安全警告消息,恶意更改合法代码以及供应商作者的身份被盗取而放弃应用程序的安装。
3消除安全警告
消除“未知发布商”安全警告
4使软件可信
证书中显示组织名称,标示软件可信身份。
5提高品牌形象
现在有越来越多的软件发布下载和搭载平台都开始要求软件的安全验证。例如Windows,就要求软件开发商使用可应用于微软系统的代码签名证书对软件进行数字签名。
无论是不信任造成用户流失带来的损失,还是企业必须保障用户的隐私安全,对应用软件进行安装代码签名证书都是很有必要的。
(新闻来源:新华网)
领取优惠
提交成功!