當前位置:
首頁 > 新聞 > 阿里雲40家知名企業源代碼「泄露」,誰的鍋?

阿里雲40家知名企業源代碼「泄露」,誰的鍋?

2 月 22 日,據鉛筆道報道,上海一家科技公司的後端工程師張中南爆料,阿里雲代碼託管平台的項目許可權設置存在歧義,導致開發者操作失誤,造成至少 40 家以上企業的 200 多個項目代碼泄露,其中涉及到萬科集團、咪咕音樂、51信用卡旗下51足跡、百度無人車合作夥伴 ecarx 等知名企業,他半年前已經發現此事,並向阿里云云效平台報告,問題至今未完全解決。

張中南稱,去年 8 月下旬他註冊了一個阿里雲平台賬號,卻意外發現在阿里雲效平台上,只要登上賬號,就能瀏覽到很多公司的「內部」代碼。

最初,張中南以為這些代碼是開源的,但這些代碼內容很多都是不該出現在開源項目中的。比如,項目的資料庫、賬號、密碼等。抱著測試一下的態度,張中南登錄了這些賬號和密碼,卻發現了一些公司生產環境的具體數據。

張中南認為,之所以出現這種情況,可能是因為這些公司的程序員在給項目建庫時操作不當,將項目許可權設置成「平台公開」。因為當時的阿里雲代碼託管業務還是全英文平台,可能很多企業在創建項目的時候會誤選擇「internal」,也就是「平台公開」。

張中南發現潛在安全風險後,與其中一些安全公司的一線工程師聯繫,通知對方修改了設置。考慮到自己的「義舉」可能對自身帶來法律風險,2018 年 11 月,他將51信用卡在阿里雲 code 上託管的代碼項目 51足跡 App,因為許可權配置不當而泄漏的情況告知了雲效客服,希望阿里雲能發個站內信告知這部分公司。

當時阿里云云效方面表示,張中南反饋的 51 信用卡旗下 51 足跡 App 後台的代碼,倉庫級別設置為了「internal」,需要通知客戶改為「private」的問題,已經關聯任務。但張中南發現,事情並沒有完全解決,他在11月之前監測過的代碼泄露企業,依舊處於「裸奔」狀態,這意味著阿里雲並沒有通知到代碼泄露的企業。

今年 1 月 31 日,張中南再次聯繫了阿里云云效平台,希望事情得到處理。這次阿里雲客服表示:「作為公有雲的代碼託管,我們無權掃描用戶的代碼,這一點公有和私有一樣,倉庫的開放性是用戶自主的權利。」阿里雲稱,感謝張中南的反饋,會將其反饋到的信息給到其發現的幾個倉庫的維護者,但同時也建議張中南可以直接通過 commit 的郵箱與維護者進行提示。

目前,阿里云云效平台建庫操作頁面為中文,默認許可權為「私有」。

阿里雲40家知名企業源代碼「泄露」,誰的鍋?

【 圖片來源:鉛筆道所有者:鉛筆道 】

網路尖刀團隊曲子龍撰文反駁了鉛筆道《獨家 | 阿里雲出現源代碼泄露企業 涉及萬科等 40 家企業 200 余項目》該文的論調,他認為,文章描述實際泄漏源過度傾向於問題出自「阿里雲代碼託管平台」,但事實上並非如此。


「什麼是代碼託管?用大白話講就是提供一個存代碼的地方,企業可以像託管伺服器一樣,在上面自由存放託管代碼。

託管怎麼泄露的?就是創建託管項目分為「公開」和「私有」模式,很多程序員對公開和私有可能有什麼誤會,把本該私有模式的代碼(阿里雲默認就是私有模式),設置成為了公開,導致所有有公開許可權的人都可以在這裡 down 他原本需要設置成為「私有」的代碼。

和阿里雲有什麼關係?文章里又一個吐老血的狗屁劇情就這樣發生了,文章描述阿里雲存在的問題竟然是因為阿里雲代碼託管平台的業務,這些描述都是用英文寫的!

自認為,即便是英文不認識,讀讀描述仍然是能搞的懂的問題,不知道為什麼會成為一個直接導致「用戶數據泄露」的大問題。」

曲子龍指出,程序員誤傳代碼,把包含敏感信息的項目傳到了開源平台,這是一個常年累積下來的幺蛾子病。

GitHub 敏感信息泄露,已經成為了一項標準的安全測試流程了,這些問題都出自程序員本身對安全意識的匱乏,程序員要背鍋,技術老大的鍋也跑不了,能當的上團隊的技術 leader 起碼的安全風控意識,安全標準還是要有的吧?為什麼沒有有效的管理、培訓、風控體系,才讓程序員犯了這麼低級的錯誤,導致出這一的大問題,我想是每一個技術負責人都該自我檢討和思考的。」曲子龍寫道。

也有人認為,阿里雲未盡到提示義務。

CODING公司產品總監王振威對雷鋒網表示,阿里雲方面存在兩個問題。第一,企業級產品可以這麼隨意的選擇公開源碼選項是有問題的,不符合企業管理的規範。第二,它提供了一個具有誤導性的選項 internal,讓用戶誤以為是內部項目,其實不是。此外,阿里云云效平台客服處置不當。「這個操作不需要掃描用戶代碼,應該及時通知所有用戶檢查自己項目的許可權設置。」王振威說。

雷鋒網發現,2 月 22 日下午 2 點左右,阿里雲在其新浪微博上發布了關於 Internal 訪問許可權的說明:


我們收到開發者用戶反饋,認為阿里雲代碼託管平台 code.aliyun.com 訪問許可權設置中的「Internal」選項存在理解歧義。

該平台旨在為開發者提供代碼託管與交流服務。我們提供了Private(私有)、Internal(站內登錄可見)、Public(完全公開)三個訪問許可權選項。默認代碼訪問許可權為Private(私有),用戶可以手動更改為其他選項。

2018 年 9 月底,我們已經增強了對 Internal 許可權的中文註解,並於昨日發出全站通知提醒。同時,我們正在逐一通知之前將訪問許可權設為 Internal 的開發者用戶,確保大家正確理解該訪問許可權的含義。

任何產品功能理解上的歧義,都說明我們在產品設計和用戶體驗上做得不夠好。我們正在評估、改進相關產品設計,讓所有開發者有一個更安全、清晰的使用體驗。

阿里雲代碼託管團隊

2019年2月22日

雷鋒網註:上述部分信息援引自《程序員智障,你TMD打了個阿里標?》,曲子龍,網路尖刀;《獨家 | 阿里雲出現源代碼泄露企業 涉及萬科等40家企業200餘項目》,付艷翠,鉛筆道。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 雷鋒網 的精彩文章:

小米手機部組織架構大調整,成立參謀部和顯示觸控部
萬字長文帶你看盡深度學習中的各種卷積網路(上篇)

TAG:雷鋒網 |