SonarQube 是一款开源的代码质量管理系统,提供软件代码审计功能。SonarQube 默认配置下, 未对其 API 接口进行任何访问控制,导致可不经认证通过互联网下载该系统审计过的程序源代码。另外,该系统默认管理员凭据是弱口令,如未更改,极易被利用来直接登录获得该系统审计过的源代码。
目前已有攻击者利用相关漏洞窃取源码的事件发生,许多开发者也很关心集成了 SonarQube 服务的 Gitee 是否也存在安全风险,在此 Gitee 官方也向广大开发者给出明确的答复:
「Gitee 并不受 SonarQube 的漏洞影响,请大家放心使用。」
首先,Gitee 的 SonarQube 服务进行了访问控制的配置,「访问 API 必须要携带认证 Token」,并且管理员账号的口令符合一定的密码复杂度。
其次,Gitee 的 SonarQube 服务只允许内网服务间的访问,「通过严格端到端的仓库验证确保返回信息的一致性」,并且在网络层面做了严格的防火墙访问控制。
「安全与稳定」始终是 Gitee 向广大开发者提供服务的重要前提,也是 Gitee 团队放在首位的服务目标。
为了保证服务的安全性与稳定性,Gitee 在对内对外均有严格的安全规范及标准操作流程,保证了上线八年期间「代码零丢失」,点击后面的链接查看 Gitee 的安全策略:
