1
2 月 22 日,據鉛筆道報道,上海一家科技公司的后端工程師張中南爆料,阿里云代碼托管平臺的項目權限設置存在歧義,導致開發者操作失誤,造成多家企業項目代碼泄露,他半年前已經發現此事,并向阿里云云效平臺報告,問題至今未完全解決。張中南認為,之所以出現這種情況,可能是因為這些公司的程序員在給項目建庫時操作不當,將項目權限設置成“平臺公開”。因為當時的阿里云代碼托管業務還是全英文平臺,可能很多企業在創建項目的時候會誤選擇“internal”,也就是“平臺公開”。
目前,阿里云云效平臺建庫操作頁面為中文,默認權限為“私有”。
【 圖片來源:鉛筆道 所有者:鉛筆道 】
網絡尖刀團隊曲子龍撰文反駁了鉛筆道《獨家 | 阿里云出現源代碼泄露企業 涉及萬科等 40 家企業 200 余項目》該文的論調,他認為,文章描述實際泄漏源過度傾向于問題出自“阿里云代碼托管平臺”,但事實上并非如此。
“什么是代碼托管?用大白話講就是提供一個存代碼的地方,企業可以像托管服務器一樣,在上面自由存放托管代碼。
托管怎么泄露的?就是創建托管項目分為“公開”和“私有”模式,很多程序員對公開和私有可能有什么誤會,把本該私有模式的代碼(阿里云默認就是私有模式),設置成為了公開,導致所有有公開權限的人都可以在這里 down 他原本需要設置成為“私有”的代碼。
和阿里云有什么關系?文章里又一個吐老血的狗屁劇情就這樣發生了,文章描述阿里云存在的問題竟然是因為阿里云代碼托管平臺的業務,這些描述都是用英文寫的!
自認為,即便是英文不認識,讀讀描述仍然是能搞的懂的問題,不知道為什么會成為一個直接導致“用戶數據泄露”的大問題。”
曲子龍指出,程序員誤傳代碼,把包含敏感信息的項目傳到了開源平臺,這是一個常年累積下來的幺蛾子病。
“GitHub 敏感信息泄露,已經成為了一項標準的安全測試流程了,這些問題都出自程序員本身對安全意識的匱乏,程序員要背鍋,技術老大的鍋也跑不了,能當的上團隊的技術 leader 起碼的安全風控意識,安全標準還是要有的吧?為什么沒有有效的管理、培訓、風控體系,才讓程序員犯了這么低級的錯誤,導致出這一的大問題,我想是每一個技術負責人都該自我檢討和思考的。”曲子龍寫道。
也有人認為,阿里云未盡到提示義務。
CODING公司產品總監王振威對雷鋒網表示,阿里云方面存在兩個問題。第一,企業級產品可以這么隨意的選擇公開源碼選項是有問題的,不符合企業管理的規范。第二,它提供了一個具有誤導性的選項 internal,讓用戶誤以為是內部項目,其實不是。此外,阿里云云效平臺客服處置不當。“這個操作不需要掃描用戶代碼,應該及時通知所有用戶檢查自己項目的權限設置。”王振威說。
雷鋒網發現,2 月 22 日下午 2 點左右,阿里云在其新浪微博上發布了關于 Internal 訪問權限的說明:
我們收到開發者用戶反饋,認為阿里云代碼托管平臺 code.aliyun.com 訪問權限設置中的“Internal”選項存在理解歧義。
該平臺旨在為開發者提供代碼托管與交流服務。我們提供了Private(私有)、Internal(站內登錄可見)、Public(完全公開)三個訪問權限選項。默認代碼訪問權限為Private(私有),用戶可以手動更改為其他選項。
2018 年 9 月底,我們已經增強了對 Internal 權限的中文注解,并于昨日發出全站通知提醒。同時,我們正在逐一通知之前將訪問權限設為 Internal 的開發者用戶,確保大家正確理解該訪問權限的含義。
任何產品功能理解上的歧義,都說明我們在產品設計和用戶體驗上做得不夠好。我們正在評估、改進相關產品設計,讓所有開發者有一個更安全、清晰的使用體驗。
阿里云代碼托管團隊
2019年2月22日
雷鋒網注:上述部分信息援引自《程序員智障,你TMD打了個阿里標?》,曲子龍,網絡尖刀;《獨家 | 阿里云出現源代碼泄露企業 涉及萬科等40家企業200余項目》,付艷翠,鉛筆道。
