首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
宝塔
V2EX  ›  程序员

由于权限歧义,导致阿里云代码托管平台很多企业私密代码暴露

  •  
  •   Andy514 · 268 天前 · 4420 次点击
    这是一个创建于 268 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天早上,看到有媒体报道阿里云出现源代码泄露企业中,不乏万科集团、咪咕音乐、51 信用卡旗下 51 足迹、百度无人车合作伙伴 ecarx 等知名企业。整个故事也有点意思,详细可以跳转链接查看:

    https://www.pencilnews.cn/p/26154.html?from=max_banner

    其中对于 internal 这个词的概念,文中主人公是这么解释的:

    “ internal ”的意思得因人而异。“如果是个人在使用代码托管,那么‘ internal ’的意义非常明确,就是使用这个平台的人都能访问。但如果是企业在使用代码托管,那么‘ internal ’的意义是‘对企业内的用户都公开’还是‘使用这个代码托管平台的人都能访问’呢?”

    登录阿里云之后发现,阿里云已经推了相关的风险提醒。

    另外,对比原文中的截图,发现阿里云已经对这个定义增加了更详细的说明。(上图是原文中截图,下图是被曝出之后的截图)

    各位有相关风险操作的,还是需要注意一下的。

    33 回复  |  直到 2019-02-23 10:04:13 +08:00
        1
    tcpdump   268 天前
    这个不是拿开源的改的么?
        2
    hahastudio   268 天前   ♥ 1
    话说再看这个帖子 /t/518183 百感交集

    我觉得这个提醒写得非常儿戏,太不商务了
        3
    ThirdFlame   268 天前   ♥ 1
    多次一举 增加 internal。
    让我理解 我也是认为是组织内部的可以查看。
        4
    rizon   268 天前
        5
    rizon   268 天前
    @rizon #4 就是 gitlab 咯
        6
    rocksolid   268 天前
    对于普通用户来说,这个 internal 和 public 完全没区别
        7
    shanlan   268 天前
    我想知道怎么看?打算学习下。
        8
    haiyangcn   268 天前
    gitlab 原有的权限控制
        9
    Pastsong   268 天前   ♥ 4
    这种 toB 产品 notice 里玩梗的怕不是脑子有坑
        10
    wizardoz   268 天前
    这个 internal 真的是多此一举
        11
    shihty5   268 天前
    看到道路*** 就觉得好 low,不管是 2b 还是 2c
        12
    Hstar   268 天前
    用过 gitlab 的都应该对 internal 有概念
        13
    9hills   268 天前
    其实 gitlab 的 internal 实在是有点脱裤子放屁的感觉,但是 gitlab 本身定位就是单个组织的私有化部署。

    阿里做二次开发直接拿来用也不说改改
        14
    icyalala   268 天前   ♥ 3
    gitlab 部署本来就是企业内部私有的,internal "企业内部的人可见" 和 "登录用户可见" 是相同意义的,这个词没用错。

    阿里这个是公开平台,"登录用户可见" 和 "完全公开" 是没什么区别的,internal 这个词根本没有任何 "internal" 的含义,是阿里用错词了。阿里不愿承认错误,所以把责任推给开发者,说什么 "错误理解"。。
        15
    sorcerer   268 天前 via Android
    貌似已经修复了
        16
    zbinlin   268 天前
    @9hills 我觉得阿里偷懒了,本身 gitlab 针对单个组织部署的,internal 在这里并无不妥。而阿里作为平台来提供这样的服务,internal 在这里意义就不大了( BTW:不知道 gitlab.com 的代码托管是否也是这样的)。

    阿里既然做了二次开发,为什么不把这个改为“组织 /公司内部可见”呢?或者干脆去掉它,这或许是产品经理的锅吧!
        17
    bumz   268 天前
    internal 的本意就是本组织可见,因为这个平台原本就是给组织自己内部使用的

    阿里把它改成公用的平台,那这个选项就毫无意义,任何人都能注册阿里云,登录阿里云才能使用等于公开。
        18
    iwishing   268 天前
    @zbinlin 你是说只改说明文字,还是增加一个组织内部可见功能?改文字没有任何意义,这个 internal 就是任何(已登录)的人可见。
        19
    LukeChien   268 天前 via Android
    这个提醒写的是个什么玩意儿,一股狗屎味,运营是个脑残吧,自己的过失不严肃提醒,扯个俏皮话儿就能糊弄过去?
        20
    9hills   268 天前
    @zbinlin gitlab.com 里 internal 也是 public 的意思
        21
    laoyur   268 天前
    改成 Platform 是不是更好点,Internal 歧义太大,就算你加了长长的注解,还是不能一眼达意
        22
    zbinlin   268 天前
    @iwishing 肯定是改功能呀,改文字不就是掩耳盗铃吗?
        23
    gstqc   268 天前 via Android
    直接干掉这个权限不就行了
        24
    rayingecho   268 天前
    这后端直接 fork 的 gitlab 吧
        25
    zhujinliang   268 天前 via iPhone
    @Pastsong @shihty5
    toB 玩梗,toC 还骂街呢🌚🌝
    之前阿里的年度账单诱导用户同意“芝麻服务协议”事件,官方道歉声明写道“初衷没错但用了非常傻逼的方式,愚蠢至极。”
        26
    HarrisonZ   268 天前
    gitlab 改的,而且没有做多租户,TM 一个云服务的 Internal 能扩大到整个云平台,产品脑子被狗吃了。
        27
    liu19931020   268 天前
    虽然是 gitlab 改的,但锅是得给阿里
        28
    mmdsun   267 天前 via Android
    阿里的锅。
        29
    kaneg   267 天前 via iPhone
    GitHub 也有企业版,不知道是啥样?
        30
    FakeLeung   267 天前 via Android
    这个锅,gitlab 可不背。
        31
    kiddult   267 天前
    @zbinlin gitlab 代码托管好像也这样?不过这个权限非常不适合做 sass 服务的,internal 很多人会理解成组织内部
        32
    liubin   267 天前
    一样的 GitLab,不一样的 Internal https://mp.weixin.qq.com/s/9f3a7_7ufKyVrmhojcOjUw
        33
    szopen   267 天前
    这个帖子怎么没人洗地
    水军没上班?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2180 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 30ms · UTC 10:45 · PVG 18:45 · LAX 02:45 · JFK 05:45
    ♥ Do have faith in what you're doing.