资讯

阿里云回应“源代码泄露”:用户可手动更改访问权限

2月22日上午,微信公众号“铅笔道”发布文章称,阿里云出现源代码泄露,造成至少40家以上企业的200多个项目代码泄露。其中涉及到万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴ecarx等知名企业,问题至今未完全解决。

据文中爆料人张中南猜测,之所以出现这种情况,可能是因为这些公司的程序员在给项目建库时操作不当,将项目权限设置成平台公开,“因为之前的阿里云代码托管业务还是全英文平台,可能很多企业在创建项目的时候会误选择‘internal’,也就是‘平台公开’。这造成在阿里云效平台上,只要登上账号,就能浏览到很多公司的‘内部’代码。”

随后阿里云代码托管团队对此事发表回应,称云效平台旨在为开发者提供代码托管与交流服务,提供了Private(私有)、Internal(站内登录可见)、Public(完全公开)三个访问权限选项。默认代码访问权限为Private(私有),用户可以手动更改为其他选项。

对于爆料人提到的“未能及时优化和解释有歧义的英文权限”的问题,阿里云代码托管团队称,在2018年9月底已经增强了对Internal权限的中文注解,并于昨日发出全站通知提醒,“我们正在逐一通知之前将访问权限设为Internal的开发者用户,确保大家正确理解该访问权限的含义。任何产品功能理解上的歧义,都说明我们在产品设计和用户体验上做得不够好。我们正在评估、改进相关产品设计,让所有开发者有一个更安全、清晰的使用体验。”

据了解,云效平台创立于2012年,孵化自阿里巴巴B2B部门,是一站式企业协同研发云,提供从“需求-开发-测试-发布-运维-运营”端到端的协同服务和研发工具支撑。换句话说,也就是能够提升研发效率,帮助企业快速升级迭代产品。目前云效平台覆盖了阿里60%的事业部,支持着阿里巴巴、速卖通、1688、村淘等网站。

本文链接:https://www.aliyun.net.cn/2250.html

上一篇:

下一篇: