微软证实SolarWinds骇客存取其源代码

微软在31日透露，除了察觉内部环境安装了恶意的SolarWinds应用程序之外，进一步的调查发现骇客已存取了该公司的程式码。

根据微软的说明，他们侦测到少数内部账号的不寻常活动，其中有一个账号被用来查阅多个源代码储存库中所存放的源代码，不过，此一账号并无变更任何程式码或工程系统的权限，微软亦进一步确认未遭到变更。

由于微软在程式码的开发上是采用“内源”（Inner Source）作法，它遵循开源码开发的最佳实践，并于组织内建立类似开源的文化，让内部工程师都能存取源代码并进行开发。微软表示，这意谓著该公司并非依靠源代码的机密性来保障产品安全，且微软的威胁模型其实是假设骇客具备源代码知识，因此，仅是察看源代码并不会扩大产品的安全风险。

除了坦承骇客的确存取了该公司的源代码之外，微软强调，并未发现骇客滥用伪造的SAML令牌来危害微软网域的证据，骇客亦未存取微软的各种生产服务或客户资料，此外，骇客并没有利用微软的系统来攻击其它企业。