[发明专利]基于git hook脚本的代码外泄保护方法和装置

说明书

本发明提供一种基于git hook脚本的代码外泄保护方法和装置，通过git平台的hook机制检测用户触发的源代码推送事件并获取源代码推送事件中包含的目标仓库地址，再基于预推脚本将目标仓库地址传输至代码推送监控工具，利用代码推送监控工具对目标仓库地址进行推送权限鉴别，得到目标仓库地址的推送权限，并将目标仓库地址的推送权限返回至git平台，使得git平台可以基于目标仓库地址的推送权限决策是否将源代码推送至该目标仓库地址中，保障了源码外泄检测和控制的可靠性和准确性，且其稳定性、兼容性以及效率更高，且可以在更精确地进行代码外泄保护的同时不影响用户的正常使用操作。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于git hook脚本的代码外泄保护方法和装置。

背景技术

git是一种开源的分布式版本控制系统，是目前最常用的源代码管理工具，其在提升了研发效率的同时，也存在一定的安全风险。员工可能会通过git平台将源代码或文档提交到外部的私有仓库中，从而泄露公司的机密。因此，需要在源代码提交过程中引入防止外泄的环节，以避免出现机密泄漏的问题。

其中，针对源代码外泄的保护方案，通常会使用以下两种方式进行监控防护：1、基于网络流量分析的方式，在通过git平台推送代码时，监控网络传输流量，对流量进行解密分析，阻止git平台推送源码到外部私有仓库；2、基于应用监控的方式，在通过git平台推送代码时，监控git.exe进程的文件访问操作，阻止该进程读取源代码内容，以防止推送源码到外部私有仓库。

然而，基于网络流量分析的方式中需要破解git平台的私有加密协议，在破解过程中可能无法还原出原始内容，也就无从对外泄内容进行保护，即使能够进行解密，该方案也会降低网络速度，以及存在各种应用协议的兼容性问题，可能导致很多网络应用无法使用该方案进行代码外泄保护。基于应用监控的方式中无法精准的获取到外泄行为，本地的提交操作也会因为git.exe读写源码文件而触发阻断，影响用户的使用，另外该方案也无法获取到外部代码仓库的地址，不能判断代码是推送到本地服务器还是外部服务器，从而难以准确地进行代码外泄保护。

发明内容

本发明提供一种基于githook脚本的代码外泄保护方法和装置，用以解决现有技术中代码外泄保护易失效的缺陷。

本发明提供一种基于githook脚本的代码外泄保护方法，包括：

基于git平台的hook机制检测用户触发的源代码推送事件；

若检测到源代码推送事件，则git平台获取所述源代码推送事件中包含的目标仓库地址；

基于预推脚本将所述目标仓库地址传输至代码推送监控工具，基于所述代码推送监控工具对所述目标仓库地址进行推送权限鉴别，得到所述目标仓库地址的推送权限，并将所述目标仓库地址的推送权限返回至所述预推脚本；所述预推脚本将所述目标仓库地址的推送权限返回至git平台；

若所述目标仓库地址的推送权限为允许推送，则git平台将所述源代码推送事件中包含的源代码推送至所述目标仓库地址中；若所述目标仓库地址的推送权限为阻断推送，则git平台阻断所述源代码推送事件。

根据本发明提供的一种基于githook脚本的代码外泄保护方法，所述基于预推脚本将所述目标仓库地址传输至代码推送监控工具，基于所述代码推送监控工具对所述目标仓库地址进行推送权限鉴别，得到所述目标仓库地址的推送权限，并将所述目标仓库地址的推送权限返回至所述预推脚本；所述预推脚本将所述目标仓库地址的推送权限返回至git平台，具体包括：

所述预推脚本获取所述代码推送监控工具的地址后，将git平台获取的目标仓库地址传输至所述代码推送监控工具并执行所述代码推送监控工具的推送权限鉴别命令；