在家办公的工程师把公司代码推到了公共仓库 - 保密网

疫情期间，很多企业都开始实行远程办公。一家做金融科技的公司也按照防疫要求，让所有员工居家办公。公司的技术团队有四十多名工程师，大家平时都在办公室的工位上写代码，切换到远程办公后，就通过VPN连接到内网继续工作。

工程师小张是团队中的主力，技术能力强，做事效率也高。他在家办公的时候，遇到了一些技术问题，需要在公司的代码仓库里查找一些历史代码来参考。但他发现VPN的连接速度很慢，频繁在内网代码仓库上查代码非常浪费时间。于是他想了一个办法，把公司代码仓库中他自己负责的那个模块克隆到了个人的GitHub账号上，做了一个私有仓库，这样在家里就可以直接拉取代码，不用每次连VPN了。

他觉得自己只是在做一个私有的仓库，别人看不到，应该没什么问题。而且GitHub的私有仓库确实是私有的，没有他的授权，别人无法访问。但他忽略了一个细节，GitHub是一家美国公司，他的代码实际上存储在了国外的服务器上。从法律合规的角度来说，将公司的核心代码未经授权存储到境外服务器上，本身就存在巨大的法律风险和数据安全隐患。

事态在几个月后急转直下。小张的GitHub个人账号被盗了，黑客通过撞库攻击获取了他的登录密码。进入他的账号后，黑客发现了一大批有价值的代码，包括该金融科技公司的核心交易引擎、风控模型算法、用户数据处理逻辑等核心代码。这些代码对于这家公司来说是命根子级别的商业机密。

黑客试图向该公司勒索赎金，要求支付一大笔比特币，否则就公开全部代码。公司一开始还想先稳住黑客，但消息不知道怎么走漏了，一些技术媒体开始报道这起事件。报道引发了监管部门的关注，因为这家金融科技公司持有相关金融牌照，一旦核心系统源代码泄露，将直接影响金融系统的安全性。

监管部门紧急介入，责令该公司暂停部分业务进行安全评估。公司的股价在消息公布后两天内暴跌了百分之三十。更严重的是，核心代码的泄露意味着竞争对手可以轻易复制其业务模式，公司的核心竞争力受到了不可逆的损害。

事后复盘时发现，这起事件中暴露出来的问题不止一个。首先是远程办公的安全策略存在巨大漏洞。公司允许员工通过VPN访问内网，但没有对数据的下载和传输行为进行有效的管控。员工可以随意将公司的核心代码下载到本地电脑上，公司完全不知道。其次是对员工访问外部代码平台的行为没有做任何管控。GitHub这类网站应该被列入公司网络的白名单管控，除非工作需要且经过审批，否则不应该允许员工将内部代码推送到外部平台。第三是账号安全管理的缺失，公司没有强制要求员工启用双因素认证，也没有对个人账号的安全性进行定期检查。

这起事件给所有实施远程办公的企业提了一个醒。远程办公提升了灵活性，但也带来了巨大的数据安全挑战。企业需要重新审视自己的安全边界，过去在公司内部网络环境下使用的安全策略，在远程办公场景下可能完全不够用。对于代码资产尤其需要重点保护，因为源代码是企业最核心的知识产权之一，一旦泄露，后果不堪设想。

企业可以考虑部署源代码安全管理方案，包括强制代码仓库访问走加密通道、代码下载需要审批、个人电脑不可存储明文源代码等措施。同时还需要加强对员工的远程办公安全培训，让他们清楚地知道远程办公环境下哪些行为是允许的、哪些行为是严格禁止的。