【企服快讯】阿里云回应源代码泄露事件,表示用户对访问权限理解存在歧义
李晓松 企服头条记者 2019-02-22

企服行业头条(微信ID:wwwqifu)消息


2月22日上午,铅笔道报道称:阿里云出现源代码泄露企业,涉及万科等40家企业200余项目。在阿里云云效平台上,只要登上账号,就能浏览到很多公司的“内部”代码。

上海一家科技公司的后端工程师、网络安全爱好者张中南也向铅笔道爆料,半年前他发现,由于阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误,造成至少40家以上企业的200多个项目代码泄露,其中涉及到万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴ecarx等知名企业,问题至今未完全解决。

据此,阿里云代码托管团队也在22日下午发布声明表示:用户对阿里云防问权限设置中的“Internal”选项存在理解歧义,阿里云正在逐一通知之前将访问权限设为Internal的开发者用户,确保大家正确理解该访问权限的含义。

以下为声明全文:

关于Internal访问权限的说明

我们收到开发者用户反馈,认为阿里云代码托管平台code.aliyun.com访问权限设置中的“Internal”选项存在理解歧义。

该平台旨在为开发者提供代码托管与交流服务。我们提供了Private(私有)、Internal(站内登录可见)、Public(完全公开)三个访问权限选项。默认代码访问权限为Private(私有),用户可以手动更改为其他选项。

2018年9月底,我们已经增强了对Internal权限的中文注解,并于昨日发出全站通知提醒。同时,我们正在逐一通知之前将访问权限设为Internal的开发者用户,确保大家正确理解该访问权限的含义。

任何产品功能理解上的歧义,都说明我们在产品设计和用户体验上做得不够好。我们正在评估、改进相关产品设计,让所有开发者有一个更安全、清晰的使用体验。

阿里云代码托管团队

2019年2月22日

分享到

点赞(1)

说点什么

全部评论