一个“Internal”牵扯出的代码泄露,阿里云独家回应
近日,阿里云云效平台被曝出现源代码泄露企业,涉及40家企业共200余项目,甚至波及用户隐私敏感数据。晚些时候,阿里云就此事作出回应,并在网站醒目标识并给出告警。
今天,一篇题为《独家 | 阿里云出现源代码泄露企业 涉及万科等40家企业200余项目》的文章吸引了不少关注。文章披露,阿里巴巴旗下一站式研发提效平台——云效平台,只要通过账号正常登陆进去,就可以看到很多公司的“内部”代码,甚至不少用户敏感信息被泄露,涉及公司包括万科集团、咪咕音乐、百度无人车合作伙伴ecarx等。
根据了解,出现该问题的主要原因在于提交者对“Internal”一词的不同理解。在云效平台提交代码,默认可以选择三种方式:Private、Internal和Public。私有与公开很好理解,唯独Internal一词出现争议,这些代码被公开的企业可能将其理解为公司内部公开,因此将默认状态下的Private权限更改为Internal。但是,Internal的真正含义是平台公开而非公司内部公开,一旦选择该选项,就意味着数据对整个云效平台公开,所有用户均可访问,这也是造成本次“源码泄露”事件的主要原因。
针对此事,InfoQ编辑部第一时间与阿里云取得联系。对此,阿里云回应如下:
阿里云方面表示,2018年9月底,阿里云曾增强对Internal权限的中文注解,并于近日发出全站通知提醒。同时,阿里云正在逐一通知之前将访问权限设为Internal的开发者用户,确保大家正确理解该访问权限的含义,并将继续评估、改进相关产品设计,让所有开发者有一个更安全、清晰的使用体验。
对此,开发者的反应各有不一,有人认为Internal一词在国内更多被翻译为内部,国外则更多理解为平台公开,国内外对于同一词汇的理解存在误差,阿里云应该给出更加具体的说明;也有网友表示,代码托管平台的设计大致相仿,几乎每个平台都采用Internal一词表示平台公开,长期编程的技术人员不可能产生误解;另外,也有不少人对数据表示怀疑,认为该量级的企业不会将内部非公开代码托管到公共平台,而是应该放在私有平台存储。
对于被提到的几家代码公开的企业,部分已经第一时间将状态更改为Private,暂未出现更大规模信息泄露,阿里云也表示将主动联系平台内项目状态设置为“Internal”的客户,第一时间确实是否存在其他风险。据了解,目前该平台已经醒目给出告警。正常状态下,项目默认为私有,手动更改请慎重选择。
回顾 2018 年,全球数据泄露事件不断,当事公司不乏技术实力雄厚、人才充足的大型互联网企业,个别企业的安全漏洞甚至被黑客利用数年之久,泄露的总体数据量超过 10 亿。其中,比较大型的几起事件有万豪国际集团官方微博声明,喜达屋旗下酒店客户预订数据库被黑客入侵,在 2018 年 9 月 10 日或之前曾在该酒店预定的最多 5 亿条客户数据或被泄露;华住集团被曝数据泄露,用户信息在暗网公开出售,标价 8 个比特币(当时的市值大约等价 37 万人民币),被泄露用户信息近 5 亿;2019刚开年,单单Elasticsearch 数据泄露事件一个月就发生了6起。
无论是大型云厂商还是企业,都应该加强代码安全意识,尤其是涉及用户敏感信息的数据。对于拥有大量隐私数据的企业而言,加强内部员工管理也很关键,内因往往是造成此类事件发生的最大原因之一。第三方代码平台应该加强管理和风险告知能力,企业层面也需要加强员工培训并在做出选择之前进行合理风险评估。一旦出现信息泄露,第一时间对泄露数据和代码进行清理,以免发酵被黑客利用。
对于此事,各有各的说法,你对\u0026quot;Internal“一词作何理解?你认为这个锅应该谁背呢?
一个“Internal”牵扯出的代码泄露,阿里云独家回应相关推荐
- 低代码:阿里“云钉一体”战略的延伸和深化
钉钉又有新动作. 1月14日,钉钉2021共生长·创未来发布会在云端举行.钉钉正式发布6.0版本,并公布了新的进化方向.阿里云智能总裁张建锋在发布会上表示:"钉钉的目标是成为中国最好的企业协 ...
- 带你开发一个远程控制项目---->STM32+标准库+阿里云平台+传感器模块+远程显示-------之 MQTT连接阿里云平台
目录 第一篇: 第二篇: 项目清单 视频验证效果 Android Studio开发介绍 步1:此次需要下载本人开发的MQTT阿里云连接项目 步2:替换阿里云 设备三元信息 查看三元 替换 Androi ...
- 带你开发一个远程控制项目---->STM32+标准库+阿里云平台+传感器模块+远程显示。
目录 本次实验项目: 下次实验项目: 本次项目视频结果/APP/实物展示 实物展示 APP展示 视频展示 模块选择说明; 温湿度传感器模块介绍 光照传感器介绍 ESP8266-01S模块介绍 本次实验 ...
- 有人说这是咪咕事件华为云对阿里云的回应?
围棋有黑子白子,你中有我我中有你,胜负的过程就是博弈,不是你死我活,就是鱼死网破.至于谁先谁后并不重要,最重要的是全局的胜利. --题记 看到这个截图,有人说这是咪咕事件华为云对阿里云的回应?我看不见 ...
- 零基础STM32+ESP12F+MQTT连接阿里云服务器完整流程(三、STM32通过代码连接阿里云服务器)
要想实现通过代码实现STM32连入阿里云服务器,要首先实现使用AT指令通过串口连接阿里云,大家可以参考我之前的两篇文章,链接如下 链接: 零基础STM32+ESP12F+MQTT连接阿里云服务器完整流 ...
- 上传代码到阿里云仓库遇到的问题
昨天在把一个项目的代码上传阿里云仓库时,遇到了不少问题,下面将记录一下问题及解决方法 一.关联仓库 要做的第一步是要关联阿里云的你要上传的目标仓库,官方给出了做法 点进去自己的目标仓库,复制网址,加个 ...
- mybatis generator使用_SpringBoot整合Mybatis实现自动生成代码 || 附阿里P8独家SpringBoot视频资料...
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL.存储过程以及高级映射.MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集. MyBatis 可以使用简单的 XM ...
- 第一个将Palette Mode引入VVC,阿里云在JVET会议上引起关注
摘要: 本文作者阿里云视频云高级技术专家睿柯如是说:阿里云在屏幕视频编码技术和应用上有世界领先的团队.6月中国AVS会议中,阿里云提出提案分析屏幕视频编码的应用需求,引起AVS组织关注,采纳阿里云的提 ...
- Java代码实现阿里云视频上传
目录 视频上传 视频删除 视频上传 新建一个springboot项目,结构大概这样 添加依赖 <dependency><groupId>com.aliyun</group ...
最新文章
- 校准曲线(calibration curve)是什么?如何绘制校准曲线(calibration curve)?如何通过过校准曲线进行分析?什么是高估?什么是低估?
- vue打包后css路径_Vue打包后访问静态资源路径问题
- 统计特性和概率估计-2 (数学推导与证明)
- MySQL高级 - 锁 - 锁的概述及分类
- PostgreSQL在何处处理 sql查询之十三
- docker install on centos 6.x
- 编写一个字节数的rtu C语言校验程序,Modbus通信协议中CRC校验的快速C语言算法
- C#LeetCode刷题之#559-N叉树的最大深度(Maximum Depth of N-ary Tree)
- 1000个摄像头的网络怎么搭建?为什么500个就卡的不行?
- 使用axure的团队项目功能
- SpringMVC源码解析 - HandlerAdapter - @SessionAttributes注解处理
- (原创)用cmd命令制作恶搞程序
- 好用的 身份证识别OCR API
- 写项目总结写哪些方面
- httpclient.execute长时间停滞问题
- Linux系统打不开gedit文本编辑器
- Java IDE漫谈(一)
- RS485通信的学习以及思考
- 西门子real是什么数据类型_西门子数据类型REAL转WORD和S5TIME的方法
- 关于CLASS , SEL, IMP的说明