近日有报道称,上海一家科技公司的后端工程师历时半年,义务“为阿里云查Bug”。他发现,阿里云代码托管平台的项目权限设置得有歧义,用户在上传代码时,可设置“private、internal和public”。
很多开发者以为选择“internal”,就是安全的,于是选了此选项。但是正因为此,已有包含万科、咪咕音乐、51信用卡等40家企业在内的200多个项目代码被泄露。
工程师最初自己联系代码泄露的企业,之后开始联系阿里云客服。客服回应称,会提醒用户设置成私密项目。但是工程师发现,那些企业的代码,仍处于泄露状态。
报道出来后,阿里云官方微博已作出回应,表示:
“2018年9月底,我们已经增强了对Internal权限的中文注解,并于昨日发出全站通知提醒。同时,我们正在逐一通知之前将访问权限设为Internal的开发者用户,确保大家正确理解该访问权限的含义。
任何产品功能理解上的歧义,都说明我们在产品设计和用户体验上做得不够好。我们正在评估、改进相关产品设计,让所有开发者有一个更安全、清晰的使用体验。”
截止现在,阿里云的这则声明留言不多,确都很明显帮阿里方发言:
某网友说:“这个跟平台关系不大啊。简单来说,这不是阿里云出问题,是下边的一个代码托管平台。创建项目的时候就有选择,设置错了不能怪平台吧。”
留言另一用户称:“企业内部项目设置成private不是基本常识吗?我从云效刚开始就使用托管平台,一直都是默认private的。”
那么,这究竟是阿里云的错?还是在企业上传代码的错?
其实本次泄露事件用户方及阿里云都存在失误。阿里云失误在后台中的“internal”,让学中国式英语出身的程序员们很是懵X。并且阿里云未尽到事前提醒的义务,但是,在托管平台中上传代码的企业的程序员们,没有保证代码源头安全,才是导致代码泄露的“元凶”。
不管怎样,这次事件再次暴露了,用户对公有云的最大担心——数据安全。
企业上云
数据如何安全落地?
在上云过程中阿里云是众多企业的选择,那么,阿里云是否对得起用户的信任和买单呢?对于用户而言,阿里云品牌有保障,工作流程已然可以说规范,并且符合大多数企业需求;而对于企业的程序员来说,很多时候老板可能不懂技术,但是仅仅因为老板不懂就不好好保护代码,又怎么对得起公司的殷切期望呢?
另一方面,近年来,云厂商确实经常出现数据泄露的情况,从阿里云函数计算挂掉、直接导致国内半个互联网瘫痪、到腾讯云因为运营商光缆中断而宕机......企业是否上云,上云后的安全如何保障?成为首要解决的问题。
解决“企业上云”数据安全隐患亿赛通给出一整套解决方案,可通过数据防护,分别从文件的存储、传输、使用等方面,采用核心加密技术,巩固“企业上云”安全建设,确保在各种复杂业务场景下企业核心数据资产不被泄露和非法窃取。即保证敏感数据在加密状态下不改变和影响用户使用系统和工作效率,让安全性和可用性之间保持一定的平衡。除此之外,亿赛通针对各种敏感文件进行数据安全保护,有效识别敏感数据,监控敏感数据使用情况,防护敏感数据外泄。有效培养并提高员工对敏感文件的保密意识,确保在各种复杂业务场景下企业核心数据资产不被泄露和非法窃取。
在这个蹭吃、蹭喝、蹭WIFI的时代,不法分子窃取重要数据可以说是轻而易举!中国数据安全防护专家亿赛通特别提醒大家,无论个人或企业都需增强信息安全防护意识。同时,还必须加大安全技术投入,从根源防范信息泄露,从而对信息安全进行彻底保护。
文章资讯来源互联网
