GitHub 4000+内部仓库泄露，源代码加密才是供应链安全第一道防线！

5月20日，GitHub表示正在调查其内部仓库遭遇未授权访问一事。此前，以软件供应链攻击见长的威胁组织TeamPCP在地下犯罪论坛挂牌出售据称属于GitHub的源代码及内部组织信息，并声称「这不是勒索」——找到单一买家后即在其侧销毁数据；若无买家则免费公开泄露。

最新调查进展

GitHub 在后续更新中称，已发现并遏制员工设备遭入侵——入侵与一款被投毒的Microsoft Visual Studio Code扩展有关。作为缓解措施，已轮换关键密钥，并优先处理影响最大的凭据。当前评估为：活动涉及的数据外泄范围限于GitHub内部仓库；攻击者所称约3,800个仓库，与调查方向「大体一致」。

此次入侵路径直指开发环节安全软肋：攻击者通过投毒VS Code扩展入侵员工设备，横向渗透内网，窃取密钥、访问仓库、扩散数据，波及PyPI供应链，引发连锁安全风险。

源代码裸奔致命风险，GitHub 事件直击加密缺失痛点

没有加密保护的源代码，就是明文裸奔，GitHub事件已把所有风险全部上演：

>> IDE插件被投毒 → 终端失守：员工设备无加密防护，恶意程序轻松窃取源码与密钥；

>> 内部仓库无加密防护 → 横向渗透即得手：明文存储的核心代码、架构、密钥被批量外泄；

>> CI/CD令牌、云凭证未加密 → 供应链雪崩：恶意包植入、发布投毒，下游批量沦陷；

>> 内鬼+外攻双重威胁 → 超过80%安全威胁来自内部，离职拷贝、越权访问、黑客窃取同时存在；

>>合规与声誉双崩盘 → 核心资产失窃、商业秘密暴露，面临监管处罚与品牌重创。

IDE 环境、开发终端、代码仓库、发布流水线，任何一环无加密，源码就会被轻易拿走。堵漏洞、换密钥都是事后补救，源代码加密管控才是唯一治本方案。