パスワードを忘れた? アカウント作成
15159382 story
情報漏洩

ソースコード流出事件を受けて、GitHubの監視サービスがスタート 39

ストーリー by nagazou
商魂たくましい 部門より
先日のGitHubへの社内コード流出騒ぎを受けて、早速ソースコードがGitHub上に流出していないかをチェックするというサービス「LeakCop(リークコップ)」を始める企業が登場している。ASCIIの記事によれば、このサービスを始めるのはメタエクスという企業で、サービスは3月から開始予定とのこと。利用方法は利用者が監視用のキーワードをサービス上に登録すればよいという(PR TIMESに掲載されたリリースASCII)。

例えば、サービスに自社名などを含むソースコードのコピーライトを登録すれば自動でモニタリングを行うそうだ。流出検知時にはメールまたはSlackで通知するとのこと。現時点では料金体系などの詳細については不明。
  • by annoymouse coward (11178) on 2021年02月02日 14時26分 (#3970736) 日記

    githubにアカウントを持っているとソースコードが検索できます.無料アカウントでも利用できる機能です.

    例えば com.nttdata.nttdatanotificationservice という文字列を含むjavaのソースコードを探したいなら
    - ブラウザで github.com を開いて
    - ログインして,
    - github.com の検索窓に 「com.nttdata.nttdatanotificationservice extension:java language:java」という文字列を入力
    - 検索ボタンを押す
    だけです

    これで該当するファイルの一覧が確認できます

    これは以下のURLをブラウザで開いたことに相当します.(注意:github.comへのログインが要求されます)
    https://github.com/search?q=com.nttdata.nttdatanotificationservice+ext... [github.com]

    ここで chromium をコマンドラインで以下のように起動すると,上記URLにアクセスして結果を pdf で保存する,ということが一発で出来ます
    $ chromium --headless --disable-gpu --print-to-pdf "上記URL"
    chromiumにログイン情報を記憶させておけば,パスワード等の入力は不要です.

    出来上がったpdfのファイルサイズは,該当するソースコードが存在しない場合は小さく,該当するコードが見つかった場合は大きくなります.

    つまり
    - crontab などで定期的に上記コマンドを実行
    - 出来上がったpdfのファイルサイズを監視
    - 必要なら /usr/bin/mail あたりで slack なり担当者に電子メールで警告を送信
    という形で,とりあえずの監視サービスが出来がってしまいます!

    …というのは,まあ冗談なんですが,pythonとか npmのモジュールを使って開発(笑)しても10分ぐらいで同様のサービスは作れます.

    いずれにせよ,この程度のサービスさえ作れない会社はそもそもソースコードを書くこともできないはず.コードの流出は気にしなくても良いと思います.

    ここに返信
    • by Anonymous Coward on 2021年02月02日 20時12分 (#3970997)

      チェックが機能しているか監視、障害対策としての多重化、バックアップ。
      自社社員チェックでは不正が起こりうるかも。

      どう考えてもアウトソースしたいでしょ。

    • by Anonymous Coward

      github の利用規約はまともに読んでないけど、例えば100社が契約したとして、そんな処理を行えば
      github から BAN されたりはしないのだろうか?

    • by Anonymous Coward

      > githubにアカウントを持っているとソースコードが検索できます.
      ここがキモだろ
      きっとセキュリティ対策で「ギットハブのアカウント作成・保持は禁止」って
      決めちゃって困ってる企業さんがいるんだよ

    • by Anonymous Coward

      Githubの検索URLをはてなアンテナに突っ込んで定期的にメール届くようにする

      30秒で終わるわw

      • by Anonymous Coward

        コロンブスの卵に文句つける奴みたいw

    • by Anonymous Coward

      流れたコードでレベル察してよw
      ああいう書き方じゃないとok出ないよ(経験者)
      #二度と行くもんか

    • by Anonymous Coward

      出来上がったpdfのファイルサイズは,該当するソースコードが存在しない場合は小さく,該当するコードが見つかった場合は大きくなります.

      ここの判定を機械学習でやらせれば、「AI案件」ってことにできそうだな。

  • by Anonymous Coward on 2021年02月02日 14時50分 (#3970765)

    ギフハブなんぞができる前は、職務経歴書だけで就職活動できたのだが、最近はポートフォリオだのコードを見せろだの…。
    趣味で開発やってるとかでなければ、そんなの見せられるわけない。

    ここに返信
    • by Anonymous Coward

      仕事だけでしかやってませんってなったら採用しないな。
      趣味でもソフトやソース公開してる人はやっぱり能力あるからね。これは昔も今も変わらない。

      #公開してる=能力あるとは言ってない

    • by Anonymous Coward

      自分でなにか作ってるかどうかはでかいよ。
      仕事でしかコーディングしてないやつはどうしても「動けばいい」コード書きがちだし、
      プロジェクトのある部分しかみないから部分最適しすぎたりする。
      小規模でも0から100まで自分でうごくもの作った経験とを個人的には高く評価してる。

      そういう傾向があるからこそ多くの会社の採用で問われるのよ。

      世知辛いどころか「現場経験」しか尺度がなかった頃よりずっといいと思うけどね。

      • by Anonymous Coward on 2021年02月02日 16時53分 (#3970871)

        仕事だと0から100まで作るどころか、提案から運用までやってるんだけどなぁ…

      • by Anonymous Coward

        仕事でしかコーディングしてないやつはどうしても「動けばいい」コード書きがちだし、

        それはやはり思い込みと呼ばれる物だろう。それを判断材料とする観点に不安を感じる。
        プライベートでコードを書かないエンジニアに何らかの先入観を抱くのはやめた方が良い。

        • by Anonymous Coward

          ていうかほとんどのエンジニアは書かないだろ。書かないのが普通。
          おれもIT業界飛び込んだ時、なにこれみんなただのサラリーマンじゃんと思ったもんだ。
          この手の意識高い系の坊主を見ると昔を思い出して懐かしい。

          • by Anonymous Coward

            だからほとんどの奴は使えないんだよ・・・
            そのごく一部の書く奴がツカエル

          • by Anonymous Coward

            個人レベルで見れば、周りよりできる方が昇給のネタになっておいしい
            集団から見れば、一人だけできるやつが居てもタスク配分が狂うので意味がない
            でも若いうちはそんなこと考えないよね

      • by Anonymous Coward

        あー、これ意識高い系の人とか出てきて話がめんどくさくなるパターンだ。

    • by Anonymous Coward

      昔に比べ求められるモノはどんどん増えてるのに、お賃金はそんなに増えない気がするの。

      • by Anonymous Coward

        一旦、ある企業に就職したらその会社の給与テーブルに乗っかることになるから、普通は転職しないと賃金増えないよ。
        日本企業は特に。

      • by Anonymous Coward

        捨てられたものに対しては賃金発生しないから実質増えるわけないわ

    • by Anonymous Coward

      これ?

      【衝撃】ついにASKAさんが謎の集団「ギフハブ」の実態を告白 / 確認済メンバーは92人、盗聴&盗撮した音声や映像でDJプレイも
      https://rocketnews24.com/2017/03/16/875609/ [rocketnews24.com]

      • by Anonymous Coward on 2021年02月02日 22時44分 (#3971075)

        無粋を承知で解説すると、
        ASKA氏がその「ギフハブ」発言を最初にしだした頃、
        どっかのSNSで「ASKAは『GitHub』を『GifHub』と見間違えてるんじゃないか?」っていうネタが出てきて、
        そこから元の(ASKA氏の言う)「ギフハブ」とは離れて、GitHubのことを「ギフハブ」と誤記したり「謎の集団」と呼んだりするミームが生まれたの。

  • by Anonymous Coward on 2021年02月02日 13時47分 (#3970704)

    セルフ流出じゃね

    ここに返信
  • by Anonymous Coward on 2021年02月02日 13時53分 (#3970711)

    >​・監視用のキーワードを設定するだけですぐに利用可能
    >・ソースコードの流出を完全に自動でモニタリング
    >・流出を検知した場合に即座にメールまたはSlackへの通知でお知らせ
    自分でキーワードを入れないといけないならGitHub Activity Dataを定期的にBQでスキャンするのと同じようなものかな?

    ここに返信
  • by Anonymous Coward on 2021年02月02日 14時03分 (#3970720)

    こういうのはアイデアだね。
    検索して新規ヒットがあったらメール送るだけ。
    copyrightなどのキーワードのみの登録で、実際にソースが流出したかどうかチェックはクライアントがするものだからサービス提供側が判断する必要もなし。

    ここに返信
  • by Anonymous Coward on 2021年02月02日 14時07分 (#3970725)

    リソース変えたゲームとかが炙り出されるのか、それとも死蔵されたままになるのか。

    ここに返信
    • by Anonymous Coward

      javaやc#みたいなのは逆コンパイルすればソースコード得られるし、それをgithubにあげてるのもいるけど
      そういうのはcopyrightのコメントは入ってないから炙り出されないよ。

      #変数名をcopyright_sradにしよう

      • by Anonymous Coward

        いや、任意のキーワードを登録してモニタリングするようなので

        https://ascii.jp/elem/000/004/042/4042551/ [ascii.jp]
        > 利用方法は、監視用のキーワードを設定するだけ。キーワードの設定後、ソースコードの流出を自動でモニタリングし、流出を検知した場合にはメールまたはSlackでユーザーに通知する。

        逆アセ結果と一致するようなソースコード中の特徴的なパターン(文字列リテラルに非表示文字仕込んでおくとかでもいい)を登録しておけば、技術的にはヒットしそうじゃん。
        なら、技術的に可能であればゲームの死蔵は減るか否かって話。

  • by Anonymous Coward on 2021年02月02日 17時22分 (#3970896)

    GPL汚染してないかチェックしてくれるツールを導入したゲーム会社とかありましたね
    そっち関係とかはもう問題起きてないんでしょうか

    ここに返信
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...