2 月 22 日，據(jù)鉛筆道報(bào)道，上海一家科技公司的后端工程師張中南爆料，阿里云代碼托管平臺的項(xiàng)目權(quán)限設(shè)置存在歧義，導(dǎo)致開發(fā)者操作失誤，造成多家企業(yè)項(xiàng)目代碼泄露，他半年前已經(jīng)發(fā)現(xiàn)此事，并向阿里云云效平臺報(bào)告，問題至今未完全解決。張中南認(rèn)為，之所以出現(xiàn)這種情況，可能是因?yàn)檫@些公司的程序員在給項(xiàng)目建庫時(shí)操作不當(dāng)，將項(xiàng)目權(quán)限設(shè)置成“平臺公開”。因?yàn)楫?dāng)時(shí)的阿里云代碼托管業(yè)務(wù)還是全英文平臺，可能很多企業(yè)在創(chuàng)建項(xiàng)目的時(shí)候會誤選擇“internal”，也就是“平臺公開”。

目前，阿里云云效平臺建庫操作頁面為中文，默認(rèn)權(quán)限為“私有”。

【 圖片來源：鉛筆道  所有者：鉛筆道 】

網(wǎng)絡(luò)尖刀團(tuán)隊(duì)曲子龍撰文反駁了鉛筆道《獨(dú)家 | 阿里云出現(xiàn)源代碼泄露企業(yè) 涉及萬科等 40 家企業(yè) 200 余項(xiàng)目》該文的論調(diào)，他認(rèn)為，文章描述實(shí)際泄漏源過度傾向于問題出自“阿里云代碼托管平臺”，但事實(shí)上并非如此。

“什么是代碼托管？用大白話講就是提供一個(gè)存代碼的地方，企業(yè)可以像托管服務(wù)器一樣，在上面自由存放托管代碼。

托管怎么泄露的？就是創(chuàng)建托管項(xiàng)目分為“公開”和“私有”模式，很多程序員對公開和私有可能有什么誤會，把本該私有模式的代碼（阿里云默認(rèn)就是私有模式），設(shè)置成為了公開，導(dǎo)致所有有公開權(quán)限的人都可以在這里 down 他原本需要設(shè)置成為“私有”的代碼。

和阿里云有什么關(guān)系？文章里又一個(gè)吐老血的狗屁劇情就這樣發(fā)生了，文章描述阿里云存在的問題竟然是因?yàn)榘⒗镌拼a托管平臺的業(yè)務(wù)，這些描述都是用英文寫的！

自認(rèn)為，即便是英文不認(rèn)識，讀讀描述仍然是能搞的懂的問題，不知道為什么會成為一個(gè)直接導(dǎo)致“用戶數(shù)據(jù)泄露”的大問題?！?/p>

曲子龍指出，程序員誤傳代碼，把包含敏感信息的項(xiàng)目傳到了開源平臺，這是一個(gè)常年累積下來的幺蛾子病。

“GitHub 敏感信息泄露，已經(jīng)成為了一項(xiàng)標(biāo)準(zhǔn)的安全測試流程了，這些問題都出自程序員本身對安全意識的匱乏，程序員要背鍋，技術(shù)老大的鍋也跑不了，能當(dāng)?shù)纳蠄F(tuán)隊(duì)的技術(shù) leader 起碼的安全風(fēng)控意識，安全標(biāo)準(zhǔn)還是要有的吧？為什么沒有有效的管理、培訓(xùn)、風(fēng)控體系，才讓程序員犯了這么低級的錯(cuò)誤，導(dǎo)致出這一的大問題，我想是每一個(gè)技術(shù)負(fù)責(zé)人都該自我檢討和思考的。”曲子龍寫道。

也有人認(rèn)為，阿里云未盡到提示義務(wù)。

CODING公司產(chǎn)品總監(jiān)王振威對雷鋒網(wǎng)表示，阿里云方面存在兩個(gè)問題。第一，企業(yè)級產(chǎn)品可以這么隨意的選擇公開源碼選項(xiàng)是有問題的，不符合企業(yè)管理的規(guī)范。第二，它提供了一個(gè)具有誤導(dǎo)性的選項(xiàng) internal，讓用戶誤以為是內(nèi)部項(xiàng)目，其實(shí)不是。此外，阿里云云效平臺客服處置不當(dāng)?！斑@個(gè)操作不需要掃描用戶代碼，應(yīng)該及時(shí)通知所有用戶檢查自己項(xiàng)目的權(quán)限設(shè)置?！蓖跽裢f。

雷鋒網(wǎng)發(fā)現(xiàn)，2 月 22 日下午 2 點(diǎn)左右，阿里云在其新浪微博上發(fā)布了關(guān)于 Internal 訪問權(quán)限的說明：

我們收到開發(fā)者用戶反饋，認(rèn)為阿里云代碼托管平臺 code.aliyun.com 訪問權(quán)限設(shè)置中的“Internal”選項(xiàng)存在理解歧義。
該平臺旨在為開發(fā)者提供代碼托管與交流服務(wù)。我們提供了Private（私有）、Internal（站內(nèi)登錄可見）、Public（完全公開）三個(gè)訪問權(quán)限選項(xiàng)。默認(rèn)代碼訪問權(quán)限為Private（私有），用戶可以手動(dòng)更改為其他選項(xiàng)。
2018 年 9 月底，我們已經(jīng)增強(qiáng)了對 Internal 權(quán)限的中文注解，并于昨日發(fā)出全站通知提醒。同時(shí)，我們正在逐一通知之前將訪問權(quán)限設(shè)為 Internal 的開發(fā)者用戶，確保大家正確理解該訪問權(quán)限的含義。
任何產(chǎn)品功能理解上的歧義，都說明我們在產(chǎn)品設(shè)計(jì)和用戶體驗(yàn)上做得不夠好。我們正在評估、改進(jìn)相關(guān)產(chǎn)品設(shè)計(jì)，讓所有開發(fā)者有一個(gè)更安全、清晰的使用體驗(yàn)。
阿里云代碼托管團(tuán)隊(duì)
2019年2月22日

雷鋒網(wǎng)注：上述部分信息援引自《程序員智障，你TMD打了個(gè)阿里標(biāo)？》，曲子龍，網(wǎng)絡(luò)尖刀；《獨(dú)家 | 阿里云出現(xiàn)源代碼泄露企業(yè) 涉及萬科等40家企業(yè)200余項(xiàng)目》，付艷翠，鉛筆道。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。