阿里雲40家知名企業源代碼「泄露」，誰的鍋？

2 月 22 日，據鉛筆道報道，上海一家科技公司的後端工程師張中南爆料，阿里雲代碼託管平台的項目許可權設置存在歧義，導致開發者操作失誤，造成至少 40 家以上企業的 200 多個項目代碼泄露，其中涉及到萬科集團、咪咕音樂、51信用卡旗下51足跡、百度無人車合作夥伴 ecarx 等知名企業，他半年前已經發現此事，並向阿里云云效平台報告，問題至今未完全解決。

張中南稱，去年 8 月下旬他註冊了一個阿里雲平台賬號，卻意外發現在阿里雲效平台上，只要登上賬號，就能瀏覽到很多公司的「內部」代碼。

最初，張中南以為這些代碼是開源的，但這些代碼內容很多都是不該出現在開源項目中的。比如，項目的資料庫、賬號、密碼等。抱著測試一下的態度，張中南登錄了這些賬號和密碼，卻發現了一些公司生產環境的具體數據。

張中南認為，之所以出現這種情況，可能是因為這些公司的程序員在給項目建庫時操作不當，將項目許可權設置成「平台公開」。因為當時的阿里雲代碼託管業務還是全英文平台，可能很多企業在創建項目的時候會誤選擇「internal」，也就是「平台公開」。

張中南發現潛在安全風險後，與其中一些安全公司的一線工程師聯繫，通知對方修改了設置。考慮到自己的「義舉」可能對自身帶來法律風險，2018 年 11 月，他將51信用卡在阿里雲 code 上託管的代碼項目 51足跡 App，因為許可權配置不當而泄漏的情況告知了雲效客服，希望阿里雲能發個站內信告知這部分公司。

當時阿里云云效方面表示，張中南反饋的 51 信用卡旗下 51 足跡 App 後台的代碼，倉庫級別設置為了「internal」，需要通知客戶改為「private」的問題，已經關聯任務。但張中南發現，事情並沒有完全解決，他在11月之前監測過的代碼泄露企業，依舊處於「裸奔」狀態，這意味著阿里雲並沒有通知到代碼泄露的企業。

今年 1 月 31 日，張中南再次聯繫了阿里云云效平台，希望事情得到處理。這次阿里雲客服表示：「作為公有雲的代碼託管，我們無權掃描用戶的代碼，這一點公有和私有一樣，倉庫的開放性是用戶自主的權利。」阿里雲稱，感謝張中南的反饋，會將其反饋到的信息給到其發現的幾個倉庫的維護者，但同時也建議張中南可以直接通過 commit 的郵箱與維護者進行提示。

目前，阿里云云效平台建庫操作頁面為中文，默認許可權為「私有」。

【 圖片來源：鉛筆道所有者：鉛筆道 】

網路尖刀團隊曲子龍撰文反駁了鉛筆道《獨家 | 阿里雲出現源代碼泄露企業 涉及萬科等 40 家企業 200 余項目》該文的論調，他認為，文章描述實際泄漏源過度傾向於問題出自「阿里雲代碼託管平台」，但事實上並非如此。

「什麼是代碼託管？用大白話講就是提供一個存代碼的地方，企業可以像託管伺服器一樣，在上面自由存放託管代碼。

託管怎麼泄露的？就是創建託管項目分為「公開」和「私有」模式，很多程序員對公開和私有可能有什麼誤會，把本該私有模式的代碼（阿里雲默認就是私有模式），設置成為了公開，導致所有有公開許可權的人都可以在這裡 down 他原本需要設置成為「私有」的代碼。

和阿里雲有什麼關係？文章里又一個吐老血的狗屁劇情就這樣發生了，文章描述阿里雲存在的問題竟然是因為阿里雲代碼託管平台的業務，這些描述都是用英文寫的！

自認為，即便是英文不認識，讀讀描述仍然是能搞的懂的問題，不知道為什麼會成為一個直接導致「用戶數據泄露」的大問題。」

曲子龍指出，程序員誤傳代碼，把包含敏感信息的項目傳到了開源平台，這是一個常年累積下來的幺蛾子病。

「GitHub 敏感信息泄露，已經成為了一項標準的安全測試流程了，這些問題都出自程序員本身對安全意識的匱乏，程序員要背鍋，技術老大的鍋也跑不了，能當的上團隊的技術 leader 起碼的安全風控意識，安全標準還是要有的吧？為什麼沒有有效的管理、培訓、風控體系，才讓程序員犯了這麼低級的錯誤，導致出這一的大問題，我想是每一個技術負責人都該自我檢討和思考的。」曲子龍寫道。

也有人認為，阿里雲未盡到提示義務。

CODING公司產品總監王振威對雷鋒網表示，阿里雲方面存在兩個問題。第一，企業級產品可以這麼隨意的選擇公開源碼選項是有問題的，不符合企業管理的規範。第二，它提供了一個具有誤導性的選項 internal，讓用戶誤以為是內部項目，其實不是。此外，阿里云云效平台客服處置不當。「這個操作不需要掃描用戶代碼，應該及時通知所有用戶檢查自己項目的許可權設置。」王振威說。

雷鋒網發現，2 月 22 日下午 2 點左右，阿里雲在其新浪微博上發布了關於 Internal 訪問許可權的說明：

我們收到開發者用戶反饋，認為阿里雲代碼託管平台 code.aliyun.com 訪問許可權設置中的「Internal」選項存在理解歧義。

該平台旨在為開發者提供代碼託管與交流服務。我們提供了Private（私有）、Internal（站內登錄可見）、Public（完全公開）三個訪問許可權選項。默認代碼訪問許可權為Private（私有），用戶可以手動更改為其他選項。

2018 年 9 月底，我們已經增強了對 Internal 許可權的中文註解，並於昨日發出全站通知提醒。同時，我們正在逐一通知之前將訪問許可權設為 Internal 的開發者用戶，確保大家正確理解該訪問許可權的含義。

任何產品功能理解上的歧義，都說明我們在產品設計和用戶體驗上做得不夠好。我們正在評估、改進相關產品設計，讓所有開發者有一個更安全、清晰的使用體驗。

阿里雲代碼託管團隊

2019年2月22日

雷鋒網註：上述部分信息援引自《程序員智障，你TMD打了個阿里標？》，曲子龍，網路尖刀；《獨家 | 阿里雲出現源代碼泄露企業 涉及萬科等40家企業200餘項目》，付艷翠，鉛筆道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！