ソースコード流出事件を受けて、GitHubの監視サービスがスタート 39
ストーリー by nagazou
商魂たくましい 部門より
商魂たくましい 部門より
先日のGitHubへの社内コード流出騒ぎを受けて、早速ソースコードがGitHub上に流出していないかをチェックするというサービス「LeakCop(リークコップ)」を始める企業が登場している。ASCIIの記事によれば、このサービスを始めるのはメタエクスという企業で、サービスは3月から開始予定とのこと。利用方法は利用者が監視用のキーワードをサービス上に登録すればよいという(PR TIMESに掲載されたリリース、ASCII)。
例えば、サービスに自社名などを含むソースコードのコピーライトを登録すれば自動でモニタリングを行うそうだ。流出検知時にはメールまたはSlackで通知するとのこと。現時点では料金体系などの詳細については不明。
例えば、サービスに自社名などを含むソースコードのコピーライトを登録すれば自動でモニタリングを行うそうだ。流出検知時にはメールまたはSlackで通知するとのこと。現時点では料金体系などの詳細については不明。
10分で作れるサービスでは? (スコア:5, 興味深い)
githubにアカウントを持っているとソースコードが検索できます.無料アカウントでも利用できる機能です.
例えば com.nttdata.nttdatanotificationservice という文字列を含むjavaのソースコードを探したいなら
- ブラウザで github.com を開いて
- ログインして,
- github.com の検索窓に 「com.nttdata.nttdatanotificationservice extension:java language:java」という文字列を入力
- 検索ボタンを押す
だけです
これで該当するファイルの一覧が確認できます
これは以下のURLをブラウザで開いたことに相当します.(注意:github.comへのログインが要求されます)
https://github.com/search?q=com.nttdata.nttdatanotificationservice+ext... [github.com]
ここで chromium をコマンドラインで以下のように起動すると,上記URLにアクセスして結果を pdf で保存する,ということが一発で出来ます
$ chromium --headless --disable-gpu --print-to-pdf "上記URL"
chromiumにログイン情報を記憶させておけば,パスワード等の入力は不要です.
出来上がったpdfのファイルサイズは,該当するソースコードが存在しない場合は小さく,該当するコードが見つかった場合は大きくなります.
つまり
- crontab などで定期的に上記コマンドを実行
- 出来上がったpdfのファイルサイズを監視
- 必要なら /usr/bin/mail あたりで slack なり担当者に電子メールで警告を送信
という形で,とりあえずの監視サービスが出来がってしまいます!
…というのは,まあ冗談なんですが,pythonとか npmのモジュールを使って開発(笑)しても10分ぐらいで同様のサービスは作れます.
いずれにせよ,この程度のサービスさえ作れない会社はそもそもソースコードを書くこともできないはず.コードの流出は気にしなくても良いと思います.
Re:10分で作れるサービスでは? (スコア:1)
チェックが機能しているか監視、障害対策としての多重化、バックアップ。
自社社員チェックでは不正が起こりうるかも。
どう考えてもアウトソースしたいでしょ。
Re: (スコア:0)
github の利用規約はまともに読んでないけど、例えば100社が契約したとして、そんな処理を行えば
github から BAN されたりはしないのだろうか?
Re:10分で作れるサービスでは? (スコア:2, 参考になる)
アクセスキー上げちゃうマヌケに警告するためにamazonが監視してる [qiita.com]
なんて話もあるし大丈夫だろう多分
Re:10分で作れるサービスでは? (スコア:1)
MSがやってんだよ?
岡崎市立図書館とは違うのだよ
Re: (スコア:0)
BANでもいいけど、自分がGithub運営してるならクエリ数に応じた課金体系を考えますね。
Re: (スコア:0)
> githubにアカウントを持っているとソースコードが検索できます.
ここがキモだろ
きっとセキュリティ対策で「ギットハブのアカウント作成・保持は禁止」って
決めちゃって困ってる企業さんがいるんだよ
Re: (スコア:0)
Githubの検索URLをはてなアンテナに突っ込んで定期的にメール届くようにする
30秒で終わるわw
Re: (スコア:0)
コロンブスの卵に文句つける奴みたいw
Re: (スコア:0)
流れたコードでレベル察してよw
ああいう書き方じゃないとok出ないよ(経験者)
#二度と行くもんか
Re: (スコア:0)
ここの判定を機械学習でやらせれば、「AI案件」ってことにできそうだな。
世知辛い世の中になった (スコア:1)
ギフハブなんぞができる前は、職務経歴書だけで就職活動できたのだが、最近はポートフォリオだのコードを見せろだの…。
趣味で開発やってるとかでなければ、そんなの見せられるわけない。
Re: (スコア:0)
仕事だけでしかやってませんってなったら採用しないな。
趣味でもソフトやソース公開してる人はやっぱり能力あるからね。これは昔も今も変わらない。
#公開してる=能力あるとは言ってない
Re: (スコア:0)
自分でなにか作ってるかどうかはでかいよ。
仕事でしかコーディングしてないやつはどうしても「動けばいい」コード書きがちだし、
プロジェクトのある部分しかみないから部分最適しすぎたりする。
小規模でも0から100まで自分でうごくもの作った経験とを個人的には高く評価してる。
そういう傾向があるからこそ多くの会社の採用で問われるのよ。
世知辛いどころか「現場経験」しか尺度がなかった頃よりずっといいと思うけどね。
Re:世知辛い世の中になった (スコア:1)
仕事だと0から100まで作るどころか、提案から運用までやってるんだけどなぁ…
Re: (スコア:0)
仕事でしかコーディングしてないやつはどうしても「動けばいい」コード書きがちだし、
それはやはり思い込みと呼ばれる物だろう。それを判断材料とする観点に不安を感じる。
プライベートでコードを書かないエンジニアに何らかの先入観を抱くのはやめた方が良い。
Re: (スコア:0)
ていうかほとんどのエンジニアは書かないだろ。書かないのが普通。
おれもIT業界飛び込んだ時、なにこれみんなただのサラリーマンじゃんと思ったもんだ。
この手の意識高い系の坊主を見ると昔を思い出して懐かしい。
Re: (スコア:0)
だからほとんどの奴は使えないんだよ・・・
そのごく一部の書く奴がツカエル
Re: (スコア:0)
個人レベルで見れば、周りよりできる方が昇給のネタになっておいしい
集団から見れば、一人だけできるやつが居てもタスク配分が狂うので意味がない
でも若いうちはそんなこと考えないよね
Re: (スコア:0)
あー、これ意識高い系の人とか出てきて話がめんどくさくなるパターンだ。
Re: (スコア:0)
昔に比べ求められるモノはどんどん増えてるのに、お賃金はそんなに増えない気がするの。
Re: (スコア:0)
一旦、ある企業に就職したらその会社の給与テーブルに乗っかることになるから、普通は転職しないと賃金増えないよ。
日本企業は特に。
Re: (スコア:0)
捨てられたものに対しては賃金発生しないから実質増えるわけないわ
ギフハブ? (スコア:0)
これ?
【衝撃】ついにASKAさんが謎の集団「ギフハブ」の実態を告白 / 確認済メンバーは92人、盗聴&盗撮した音声や映像でDJプレイも
https://rocketnews24.com/2017/03/16/875609/ [rocketnews24.com]
Re:ギフハブ? (スコア:1)
無粋を承知で解説すると、
ASKA氏がその「ギフハブ」発言を最初にしだした頃、
どっかのSNSで「ASKAは『GitHub』を『GifHub』と見間違えてるんじゃないか?」っていうネタが出てきて、
そこから元の(ASKA氏の言う)「ギフハブ」とは離れて、GitHubのことを「ギフハブ」と誤記したり「謎の集団」と呼んだりするミームが生まれたの。
このサービスに登録しただけで (スコア:0)
セルフ流出じゃね
監視用キーワードは自動じゃないんだ。。。 (スコア:0)
>・監視用のキーワードを設定するだけですぐに利用可能
>・ソースコードの流出を完全に自動でモニタリング
>・流出を検知した場合に即座にメールまたはSlackへの通知でお知らせ
自分でキーワードを入れないといけないならGitHub Activity Dataを定期的にBQでスキャンするのと同じようなものかな?
数分で作れそうなサービス (スコア:0)
こういうのはアイデアだね。
検索して新規ヒットがあったらメール送るだけ。
copyrightなどのキーワードのみの登録で、実際にソースが流出したかどうかチェックはクライアントがするものだからサービス提供側が判断する必要もなし。
Re:数分で作れそうなサービス (スコア:1)
問題は、気の利いた顧客なら顧客自身が数分で作れるということだけ。
Re: (スコア:0)
つまり客は面倒なクレーマーだらけ
逆アセンブルして (スコア:0)
リソース変えたゲームとかが炙り出されるのか、それとも死蔵されたままになるのか。
Re: (スコア:0)
javaやc#みたいなのは逆コンパイルすればソースコード得られるし、それをgithubにあげてるのもいるけど
そういうのはcopyrightのコメントは入ってないから炙り出されないよ。
#変数名をcopyright_sradにしよう
Re: (スコア:0)
いや、任意のキーワードを登録してモニタリングするようなので
https://ascii.jp/elem/000/004/042/4042551/ [ascii.jp]
> 利用方法は、監視用のキーワードを設定するだけ。キーワードの設定後、ソースコードの流出を自動でモニタリングし、流出を検知した場合にはメールまたはSlackでユーザーに通知する。
逆アセ結果と一致するようなソースコード中の特徴的なパターン(文字列リテラルに非表示文字仕込んでおくとかでもいい)を登録しておけば、技術的にはヒットしそうじゃん。
なら、技術的に可能であればゲームの死蔵は減るか否かって話。
10年前くらいに (スコア:0)
GPL汚染してないかチェックしてくれるツールを導入したゲーム会社とかありましたね
そっち関係とかはもう問題起きてないんでしょうか
Re:バカに文明の利器を与えてもすぐこうなる (スコア:1)
バカがGitHubを使わなくなったら、バカを相手に転職後の給料を見積もるアホ会社が困るじゃないか。
そうなると、困ったアホ会社はバカでも使える次のツールを探して新しいサービスを開始する。
そしてはじめに戻る。つまり、バカとアホ会社が居る限りは解決しない。
#根本的な問題点は、人類に一定割合で潜むバカ。となると、根本的な解決策は・・・無人化すべし!(非人類による発想)
Re: (スコア:0)
この前の流出はそもそも被害者企業はGitなんか使ってなくて
ただ「ギフハブを使えば転職できるらしい」と聞いたバカが社外秘ファイルをWebからアップロードしただけって
あっ、分からないからバカなんだったっけ
ついつい忘れるな
Re: (スコア:0)
“事前に”バカを見分ける方法が無いからしゃーない。
subversionはもう歴史上の英雄だ。
時代はmercurialだ。Win用GUIならTortoiseHgだ。
gitよりも色んな概念を削ってる(と思う)からとっつきやすい。
まさに俺(バカ)向けの分散バージョン管理システムだ。
BitBucketもmercurial対応やめたし、カジュアルにオンラインに
お漏らししちゃえるサービスはもう無いよね。
Re: (スコア:0)
あー、なんかこれだとmercurialはバカが使うもの、みたいな文章になってんな。
違うんよ。俺でも使えるくらい使いやすいんよ。
これじゃ俺バカじゃん・・まあバカですけどね?