企服行业头条(微信ID:wwwqifu)消息
2月22日上午,铅笔道报道称:阿里云出现源代码泄露企业,涉及万科等40家企业200余项目。在阿里云云效平台上,只要登上账号,就能浏览到很多公司的“内部”代码。
上海一家科技公司的后端工程师、网络安全爱好者张中南也向铅笔道爆料,半年前他发现,由于阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误,造成至少40家以上企业的200多个项目代码泄露,其中涉及到万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴ecarx等知名企业,问题至今未完全解决。
据此,阿里云代码托管团队也在22日下午发布声明表示:用户对阿里云防问权限设置中的“Internal”选项存在理解歧义,阿里云正在逐一通知之前将访问权限设为Internal的开发者用户,确保大家正确理解该访问权限的含义。
以下为声明全文:
关于Internal访问权限的说明
我们收到开发者用户反馈,认为阿里云代码托管平台code.aliyun.com访问权限设置中的“Internal”选项存在理解歧义。
该平台旨在为开发者提供代码托管与交流服务。我们提供了Private(私有)、Internal(站内登录可见)、Public(完全公开)三个访问权限选项。默认代码访问权限为Private(私有),用户可以手动更改为其他选项。
2018年9月底,我们已经增强了对Internal权限的中文注解,并于昨日发出全站通知提醒。同时,我们正在逐一通知之前将访问权限设为Internal的开发者用户,确保大家正确理解该访问权限的含义。
任何产品功能理解上的歧义,都说明我们在产品设计和用户体验上做得不够好。我们正在评估、改进相关产品设计,让所有开发者有一个更安全、清晰的使用体验。
阿里云代码托管团队
2019年2月22日
点赞(1)
说点什么
全部评论