微软 GitHub 账号 500GB 数据被黑客窃取，并声称要免费泄露，网安公司：这没什么好怕的！(3)

2019 年 4 月，Docker Hub 数据库遭遇未授权人士访问，并导致约 19 万用户的敏感信息曝光在外，这批信息包含一部分用户名与散列密码，以及 GitHub 与 Bitbucket 存储库的登录令牌。目前，Github tokens 被撤销，已禁用构建。

2019 年 5 月，GitHub 遭到黑客的攻击勒索，程序员们托管在该网站上的源代码和 Repo 都不见了。黑客要求这些受害者在十天内往特定账户支付 0.1 比特币，否则他们将会公开代码，或者以其他的方式使用。

那么，黑客为啥总是要薅 GitHub 的羊毛呢？

首先是开源社区的开放性。

根据 Snyk 2019 年开源安全现状调查报告显示，37％ 的开源开发者在持续集成 ( CI ) 期间没有实施任何类型的安全测试，54％ 的开发者没有对 Docker 镜像进行任何安全测试。这也导致两年时间内，各大平台的应用程序漏洞数量增长了 88％。 GitHub 上排名前 40 万的公共代码库中，仅 2.4% 有安全文档。而 npm 和 Maven 中央仓库的安全隐患尤其严重，而二者也是工具包数量增长最多的平台。

图自：Snyk 2019 年开源安全现状调查报告

也就是说，这些代码库是没有安全后门的，这岂不是为黑客打开大门吗？

其次，是开源项目维护者自身的安全意识不高。

根据 Snyk 2019 年开源安全现状调查报告，在一个针对 500 多名开源项目维护者的调查中，只有 30% 不的开源工程师具有较高的安全意识。

而一个更为严重的事实是，绝大多数企业的开发团队，对开源软件的使用都非常随意，运维人员也无法知晓软件系统中是否包含了开源软件，包含了哪些开源软件，以及这些软件中是否存在安全漏洞。并且大多数云供应商在将企业数据上传到集群之前都不会加密数据。

所以，程序员们和开发者们是时候留点心了。

最后一问，开源和安全，你选哪个？

（编辑：ASP站长网）