FOne CodeSec
关于信息安全
信息安全关系到企业发展。对于IT类企业,代码泄露是典型的信息安全事故,主要表现为项目源代码等资料被泄露到网上。代码泄露会导致核心技术机密泄露、客户资料泄露等情况发生,给企业带来经济损失或法律纠纷,因此避免信息泄露很有必要。
信息泄露事故主要是由于企业内部员工的违规操作造成的,比如在个人博客中张贴企业内部项目代码、使用公共存储服务上传公司项目代码等。为了避免信息泄露的发生,企业一方面需要加强员工的信息安全教育,防患于未然。另一方面需要定期检查现有项目,尽早发现已经发生的泄露事件。
近年,市场上的产品或者解决方案,主要针对信息泄露的预防,采用一些安全策略(访问控制权限等)或者是一些技术手段(加密等)。但是,不管技术或者安全策略多么坚固,信息泄露的案件时有发生。比如,2017年6月,媒体曝光Win10代码泄露,包含着Win10 Mobile、最新的Win10创作者更新与ARM版Win10的部分内容。2018年2月,iOS9系统的iBoot关键代码被匿名公开在GitHub上,堪称史上最大代码泄露事件。因此面对防不胜防的代码泄露案件,及时自动检测代码泄露势在必行。
图示源码泄露场景:
• 将源码上传至开源网站,以供将来参考,造成泄露;
• 为了解决技术问题,将源码片段公开至技术论坛,寻求帮助,间接造成泄露;
• 基于源码撰写技术文章时引用源码,间接造成泄露。
关于FOne CodeSec
FOne CodeSec,是由富士通南大软件有限公司的技术团队,以人工智能领域的自然语言处理技术为核心开发的代码泄露自动检测系统。该系统对源代码进行自动解析,活用互联网搜索引擎,定期检测代码是否被泄露到互联网,及早发现,及时处理,避免重大损失。
系统适用于软件研发企业,以及拥有软件源代码资产的其他行业。系统区别于一般预防信息泄露产品,旨在信息泄露事件发生后的自动检测预警。经过实践验证,系统检测效率和检测精度,远远高于人工检测。
FOne CodeSec技术原理
产品优势
检测自动化
降低人工参与度,减少人力成本,实现检测自动化
检测定期化
根据代码安全等级设置检测频率,实现检测定期化
检测效率化
软件代码资产并行检测,实现检测效率化
检测智能化
运用自然语言处理技术,强化检测精度,实现检测智能化
涵盖主流代码种类
支持检测C, Objective-C, C#, PHP, Java, Python, Fortran, Java Script等主流语言
安装简单
安装简单,支持Docker部署
运用简单
面向系统管理员及信息安全责任者,定期监控,疑似泄露案件报表制作
案例
某企业内部代码安全管理部门
规模:全国范围拥有研发人员1000+
背景:代码泄露安全事件4件,受到客户投诉
诉求:更有效的全面审查是否存在其他代码泄露事件
效果:项目试用阶段,检测代码规模17,225Ks,效率提高240倍,发现人工未检出泄露案件9件。
