Спецпроекты

Qiwi создала сервис, который ищет утечки исходного кода в интернете

Интернет Веб-сервисы Интеграция Маркет

Qiwi создала и запустила платформу Leak-Search, позволяющую находить утекший исходный код на открытых репозиториях. Сервис использует алгоритмы машинного обучения, но осуществляет лишь поиск – в случае выявления утечки пользователь должен будет устранить ее самостоятельно.

Немашинный поиск

Российская компания Qiwi запустила сервис Leak-Search, предназначенный для поиска утечек исходного кода. Как сообщили CNews представители Qiwi, Leak-Search разрабатывался специалистами компании, без привлечения сторонних разработчиков. Он сканирует публичные репозитории на предмет кода или конфигураций, которые изначально не предполагались для размещения в открытом доступе.

За основу сервиса была использована распределенная система сбора данных. Она имитирует немашинный поиск и содержит в себе индикаторы потенциально чувствительной информации для отслеживания ее в открытом доступе. За счет алгоритмов машинного обучения, которые анализируют ложные срабатывания, Leak-Search исключает попадание ошибочных результатов поиска в итоговую выборку.

q600.jpg
Новый инструмент Qiwi направлен на снижение числа утечек исходного кода

По заверениям Qiwi, в работе Leak-Search используются технологии искусственного интеллекта. В частности, как сообщили CNews представители компании, в системе реализован алгоритм кластеризации содержимого утечек данных в различных источниках поиска - таких, как Github, Gist, Gitlab, Bitbucket. В основе кластеризации утечек лежит метод LSA (Latent semantic analysis).

Как работает платформа

Leak-Search ищет в открытых источниках программный код или его части на основе тех данных, что пользователь вводит в строке поиска. В случае обнаружения искомой информации сервис просигнализирует об этом пользователю путем отправки ему оповещения.

Leak-Search - это веб-сервис, а не отдельное приложение

Leak-Search не предоставляет возможность по удалению кода непосредственно из своего интерфейса – это исключительно поисковый сервис. Если код или его часть будут обнаружены на репозиториях, пользователь должен будет самостоятельно убедиться в этом и удалить эту информацию из открытого доступа. Платформа по умолчанию работает с такими источниками как github и gist, с возможностью подключить новые типы в течение короткого времени.

Интерфейс и распространение

Как сообщили CNews представители компании, Leak-Search представляет собой отдельный сервис с веб-интерфейсом и системой сбора информации. По данным компании, платформа Leak-Search вышла из стадии тестирования, и в настоящее время Qiwi предлагает ее своим клиентам. Представители Qiwi рассказали CNews, что в сейчас завершаются пилоты для крупнейших российских компаний из ИТ, финансовой и маркетинговой сфер.

Оболочка Leak-Search не переведена на русский

На запрос CNews о названиях компаний, захотевших воспользоваться Leak-Search представители Qiwi на момент публикации материала ответить не смогли. Также они не стали раскрывать стоимость продукта и принцип его распространения – по подписке или путем единоразовой покупки лицензии на использование.

Также следует отметить, что на всех скриншотах Leak-Search, опубликованных на официальном сайте сервиса, его интерфейс не был русифицирован. Пока неизвестно, существует ли в Leak-Search возможность смены локализации.

Конкурирующие решения

На мировом рынке существуют сервисы, выполняющие те же функции, что и Leak-Search от Qiwi. Над аналогичным продуктом под названием GitGuardian работает одноименная европейская компания, в состав которой входят, по данным ресурса CrunchBase, три человека.

GitGuardian была основана в ноябре 2017 г. Спустя два года, в декабре 2019 г. она привлекла $12 млн инвестиций в рамках всего одного раунда. В данном случае интерес вызывает не размер вложений, а список инвесторов. Как пишет авторитетный ресурс TechCrunch, свои средства в GitGuardian вложили, в том числе, сооснователь GitHub Скотт Чакон (Scott Chacon) и основатель Docker Соломон Хайкс (Solomon Hykes). Возглавила инвестиционный раунд британская венчурная фирма Balderton Capital.