源代码保护,您的企业是否也面临这些难题?
研发环境复杂
Windows、Linux、MacOS多系统并存,开发语言、IDE、应用类型多样,防护难度大
泄密途径多
USB拷贝、网络外发、打印刻录、即时通讯——代码外传渠道防不胜防
传统加密影响效率
代码加密后编译报错、运行卡顿,研发人员抵触情绪大,易被绕过
代码服务器风险高
同一用户可在不同终端从代码库随意下载代码,权限管理形同虚设
产品概述
安得卫士数据沙盒采用“沙盒+透明加解密+准入网关”三位一体架构,在终端开辟独立的安全沙盒环境,实现“沙盒内明文高效开发、沙盒外自动加密防护”。准入机制保证只有授权的客户端才能接入,沙盒只允许连接指定的服务端,沙盒中代码采用环境加密,沙盒外采用透明加解密。既保证了代码的安全和编译效率,也能保证文件的安全流转。
核心功能
智能沙盒隔离
在研发终端创建独立的安全沙盒环境,所有与源代码相关的工作必须在沙盒内进行。
- 沙盒内明文开发:代码在沙盒内以明文形式存储和编辑,正常编译、调试,编译效率零损耗
- 沙盒外自动加密:代码导出沙盒自动加密,通过U盘、邮件等方式带出即乱码
- 网络隔离:沙盒内应用程序默认无法访问外部网络,仅可通过白名单访问内部GitLab、Maven仓库
- 外设隔离:禁止沙盒内程序访问USB存储设备、蓝牙、光驱等输出接口
动态透明加密
通过内核驱动程序拦截系统对文件的各种操作,根据用户设定的安全策略对文件实现自动加解密控制。
- 用户无感知:加解密过程在后台自动完成,不改变任何操作习惯
- 国密算法支持:支持SM2/SM4国密算法及国际标准算法
- 一文一密钥:每个文件独立密钥,安全性更高
- 脱离即失效:设备脱离公司网络或用户权限失效后,加密文件无法打开
安全网关准入
对代码服务器(SVN、Git等)进行准入保护,确保只有合法终端才能访问。
- 终端认证:仅安装安全客户端并通过身份认证的终端可访问代码服务器
- 传输加密:源代码在网络传输过程中全程加密,防止被窃听或篡改
- 防伪造服务器:自动阻断提交至非法或伪造仓库的行为
- 非法阻断:未授权终端自动阻断访问,防止代码被非法下载
设备与网络管控
对沙盒内外的设备端口和网络访问进行精细化管控,杜绝代码通过外设或网络外传。
- 设备管控:禁止USB、串口、并口、共享映射等方式拷贝沙盒内文件
- 打印刻录管控:禁止打印、刻录沙盒内文件
- 网络管控:沙盒内仅允许通过白名单访问指定代码服务器、依赖服务
- 端口白名单:支持配置进程+IP+端口方式放行必要服务
应用场景
核心痛点
代码仓库账号权限易扩散,拥有账号的人员可在任意终端下载源代码;攻击者可能伪造Git/SVN服务器,诱导研发人员提交核心代码。
核心痛点
研发终端操作系统种类多(Windows/Linux/MacOS),网络、USB、蓝牙、打印等外传出口众多,员工可通过U盘拷贝、邮件外发、IM传输等方式泄露代码。
核心痛点
研发人员之间频繁交换代码、设计文档,传统加密方式影响协作效率,明文流转又存在泄露风险;代码比对工具(Beyond Compare、WinMerge)使用受限。
核心痛点
Linux服务器代码体量大、多人共享开发,Windows端编辑Linux服务器共享代码;编译后生成的可执行文件(Jar/DLL/So等)可能被非法导出,导致核心算法泄露。
底层沙盒技术,构建安全隔离环境
容器虚拟化
基于操作系统层面的虚拟化技术,通过隔离进程和资源实现独立运行沙盒
内存隔离
不同沙盒拥有独立的内存空间,防止沙盒外程序访问沙盒内存数据
文件系统隔离
通过文件系统虚拟化、挂载命名空间等技术实现沙盒独立的文件系统
网络隔离
通过网络虚拟化、虚拟网络设备和网络命名空间等技术实现沙盒网络通信隔离
访问控制
定义沙盒的访问权限和安全策略,控制哪些程序可在沙盒中运行
安全配置管理
沙盒安全配置进行服务端集中管理和维护,确保符合企业代码安全需求
方案优势
环境隔离 安全可控
沙盒内明文开发,沙盒外自动加密,代码“内部随便用,外部带不走”
编译无感 效率零损
采用环境加密方式,不对沙盒内文件加解密,编译效率完全不受影响
准入管控 源头阻断
仅授权终端可访问代码服务器,防止非法下载与伪造服务器接入
全场景适配
支持Windows/Linux/MacOS/国产系统,适配主流IDE和版本控制工具