阿里云源代码泄露,锅该谁背?-

阿里云源代码泄露,锅该谁背?

阿里云服务器优惠

昨日,一篇由铅笔道独家发布的名为阿里云出现源代码泄露企业 涉及万科等40家企业200余项目的文章在网上引发热议。文章披露,阿里巴巴旗下一站式研发提效平台——云效平台,只要通过账号正常登陆进去,就可以看到很多公司的“内部”代码,甚至不少用户敏感信息被泄露,涉及公司包括万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴 ecarx 等。

据铅笔道报道,上海一家科技公司的后端工程师张中南爆料,阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误,造成至少 40 家以上企业的 200 多个项目代码泄露,他半年前就已经发现此事,并向阿里云云效平台报告,问题至今未完全解决。

张中南称,去年 8 月下旬他注册了一个阿里云平台账号,却意外发现在阿里云效平台上,只要登上账号,就能浏览到很多公司的“内部”代码。

最初,他以为这些代码是开源的,但这些代码内容很多都是不该出现在开源项目中的。比如,项目的数据库、账号、密码等。抱着测试一下的态度,张中南登录了这些账号和密码,却发现了一些公司生产环境的具体数据。

据了解,出现该问题的主要原因在于提交者对“internal”一词的不同理解。在云效平台提交代码,默认可以选择三种方式:Private、Internal 和 Public。私有与公开很好理解,唯独 Internal 一词出现争议,这些代码被公开的企业可能将其理解为公司内部公开,因此将默认状态下的 Private 权限更改为 Internal。但是,Internal 的真正含义是平台公开而非公司内部公开,一旦选择该选项,就意味着数据对整个云效平台公开,所有用户均可访问,这也是造成本次“源码泄露”事件的主要原因。

针对此事,阿里云回应如下:

针对此次事件,各方早已众说纷纭,网上也有很多替托管方阿里云打抱不平的声音,这锅是不是全该阿里云背,确实没法作定论。但是,阿里云方面确实存在问题,毕竟,企业级产品可以这么随意的选择公开源码选项是不合理的,不符合企业管理的规范。第二,它提供了一个具有误导性的选项 internal,让用户误以为是内部项目,其实不是。此外,阿里云云效平台客服处置不当,应当及时通知所有用户检查自己项目的权限设置。

敏感信息泄露,应当成为一项标准的安全测试流程,这些问题都出自程序员本身对安全意识的匮乏,程序员要背锅,技术老大的锅也跑不了。为什么没有有效的管理、培训、风控体系,让程序员犯了这么低级的错误,导致出这等大问题,我想是每一个技术负责人都该自我检讨和思考的。

这次阿里云平台源代码泄露事件,涉及面非常广,牵涉200多个项目,如果因为代码泄露被黑客利用,所造成的影响确实细思极恐啊!张中南就向媒体透露了其中一个涉事企业的代码暴露情况,该项目的代码中暴露了高权限生产环境数据库账号,可以直接登录查看线上数据,其中一个数据库就存储了36万条中小学生的姓名、手机号和学校。如果泄露,后果真的不堪设想。

无论是大型云厂商还是企业,都应该加强代码安全意识,尤其是涉及用户敏感信息的数据。对于拥有大量隐私数据的企业而言,加强内部员工管理也很关键,内因往往是造成此类事件发生的最大原因之一。第三方代码平台应该加强管理和风险告知能力,企业层面也需要加强员工培训并在做出选择之前进行合理风险评估。一旦出现信息泄露,第一时间对泄露数据和代码进行清理,以免被不法分子利用,造成无可挽回的损失。数据安全风险防范机制不应该只是形同虚设,应该真正在企业内部执行落实起来,企业应当将数据安全提升至企业战略发展高度。

赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

解压软件
  • potplayer
  • directx