V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Andy514
V2EX  ›  程序员

由于权限歧义,导致阿里云代码托管平台很多企业私密代码暴露

  •  
  •   Andy514 · 2019-02-22 11:18:47 +08:00 · 5968 次点击
    这是一个创建于 2107 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天早上,看到有媒体报道阿里云出现源代码泄露企业中,不乏万科集团、咪咕音乐、51 信用卡旗下 51 足迹、百度无人车合作伙伴 ecarx 等知名企业。整个故事也有点意思,详细可以跳转链接查看:

    https://www.pencilnews.cn/p/26154.html?from=max_banner

    其中对于 internal 这个词的概念,文中主人公是这么解释的:

    “ internal ”的意思得因人而异。“如果是个人在使用代码托管,那么‘ internal ’的意义非常明确,就是使用这个平台的人都能访问。但如果是企业在使用代码托管,那么‘ internal ’的意义是‘对企业内的用户都公开’还是‘使用这个代码托管平台的人都能访问’呢?”

    登录阿里云之后发现,阿里云已经推了相关的风险提醒。

    另外,对比原文中的截图,发现阿里云已经对这个定义增加了更详细的说明。(上图是原文中截图,下图是被曝出之后的截图)

    各位有相关风险操作的,还是需要注意一下的。

    33 条回复    2019-02-23 10:04:13 +08:00
    tcpdump
        1
    tcpdump  
       2019-02-22 11:27:36 +08:00
    这个不是拿开源的改的么?
    hahastudio
        2
    hahastudio  
       2019-02-22 11:32:32 +08:00   ❤️ 1
    话说再看这个帖子 /t/518183 百感交集

    我觉得这个提醒写得非常儿戏,太不商务了
    ThirdFlame
        3
    ThirdFlame  
       2019-02-22 11:32:43 +08:00   ❤️ 1
    多次一举 增加 internal。
    让我理解 我也是认为是组织内部的可以查看。
    rizon
        4
    rizon  
       2019-02-22 11:35:14 +08:00
    rizon
        5
    rizon  
       2019-02-22 11:35:44 +08:00
    @rizon #4 就是 gitlab 咯
    rocksolid
        6
    rocksolid  
       2019-02-22 11:37:45 +08:00
    对于普通用户来说,这个 internal 和 public 完全没区别
    shanlan
        7
    shanlan  
       2019-02-22 11:51:07 +08:00
    我想知道怎么看?打算学习下。
    haiyangcn
        8
    haiyangcn  
       2019-02-22 11:51:34 +08:00
    gitlab 原有的权限控制
    Pastsong
        9
    Pastsong  
       2019-02-22 11:53:15 +08:00   ❤️ 4
    这种 toB 产品 notice 里玩梗的怕不是脑子有坑
    wizardoz
        10
    wizardoz  
       2019-02-22 11:55:10 +08:00
    这个 internal 真的是多此一举
    shihty5
        11
    shihty5  
       2019-02-22 11:55:35 +08:00
    看到道路*** 就觉得好 low,不管是 2b 还是 2c
    Hstar
        12
    Hstar  
       2019-02-22 11:57:15 +08:00
    用过 gitlab 的都应该对 internal 有概念
    9hills
        13
    9hills  
       2019-02-22 12:00:54 +08:00
    其实 gitlab 的 internal 实在是有点脱裤子放屁的感觉,但是 gitlab 本身定位就是单个组织的私有化部署。

    阿里做二次开发直接拿来用也不说改改
    icyalala
        14
    icyalala  
       2019-02-22 12:26:29 +08:00   ❤️ 3
    gitlab 部署本来就是企业内部私有的,internal "企业内部的人可见" 和 "登录用户可见" 是相同意义的,这个词没用错。

    阿里这个是公开平台,"登录用户可见" 和 "完全公开" 是没什么区别的,internal 这个词根本没有任何 "internal" 的含义,是阿里用错词了。阿里不愿承认错误,所以把责任推给开发者,说什么 "错误理解"。。
    sorcerer
        15
    sorcerer  
       2019-02-22 12:31:38 +08:00 via Android
    貌似已经修复了
    zbinlin
        16
    zbinlin  
       2019-02-22 12:36:42 +08:00
    @9hills 我觉得阿里偷懒了,本身 gitlab 针对单个组织部署的,internal 在这里并无不妥。而阿里作为平台来提供这样的服务,internal 在这里意义就不大了( BTW:不知道 gitlab.com 的代码托管是否也是这样的)。

    阿里既然做了二次开发,为什么不把这个改为“组织 /公司内部可见”呢?或者干脆去掉它,这或许是产品经理的锅吧!
    bumz
        17
    bumz  
       2019-02-22 12:39:54 +08:00
    internal 的本意就是本组织可见,因为这个平台原本就是给组织自己内部使用的

    阿里把它改成公用的平台,那这个选项就毫无意义,任何人都能注册阿里云,登录阿里云才能使用等于公开。
    iwishing
        18
    iwishing  
       2019-02-22 12:41:09 +08:00
    @zbinlin 你是说只改说明文字,还是增加一个组织内部可见功能?改文字没有任何意义,这个 internal 就是任何(已登录)的人可见。
    LukeChien
        19
    LukeChien  
       2019-02-22 12:44:39 +08:00 via Android
    这个提醒写的是个什么玩意儿,一股狗屎味,运营是个脑残吧,自己的过失不严肃提醒,扯个俏皮话儿就能糊弄过去?
    9hills
        20
    9hills  
       2019-02-22 12:46:46 +08:00
    @zbinlin gitlab.com 里 internal 也是 public 的意思
    laoyur
        21
    laoyur  
       2019-02-22 12:47:31 +08:00
    改成 Platform 是不是更好点,Internal 歧义太大,就算你加了长长的注解,还是不能一眼达意
    zbinlin
        22
    zbinlin  
       2019-02-22 12:49:13 +08:00
    @iwishing 肯定是改功能呀,改文字不就是掩耳盗铃吗?
    0ZXYDDu796nVCFxq
        23
    0ZXYDDu796nVCFxq  
       2019-02-22 12:51:38 +08:00 via Android
    直接干掉这个权限不就行了
    rayingecho
        24
    rayingecho  
       2019-02-22 13:01:01 +08:00
    这后端直接 fork 的 gitlab 吧
    zhujinliang
        25
    zhujinliang  
       2019-02-22 13:02:57 +08:00 via iPhone
    @Pastsong @shihty5
    toB 玩梗,toC 还骂街呢🌚🌝
    之前阿里的年度账单诱导用户同意“芝麻服务协议”事件,官方道歉声明写道“初衷没错但用了非常傻逼的方式,愚蠢至极。”
    HarrisonZ
        26
    HarrisonZ  
       2019-02-22 13:12:07 +08:00
    gitlab 改的,而且没有做多租户,TM 一个云服务的 Internal 能扩大到整个云平台,产品脑子被狗吃了。
    liu19931020
        27
    liu19931020  
       2019-02-22 13:15:27 +08:00
    虽然是 gitlab 改的,但锅是得给阿里
    mmdsun
        28
    mmdsun  
       2019-02-22 19:55:17 +08:00 via Android
    阿里的锅。
    kaneg
        29
    kaneg  
       2019-02-22 19:58:00 +08:00 via iPhone
    GitHub 也有企业版,不知道是啥样?
    FakeLeung
        30
    FakeLeung  
       2019-02-22 20:02:21 +08:00 via Android
    这个锅,gitlab 可不背。
    kiddult
        31
    kiddult  
       2019-02-22 22:25:33 +08:00
    @zbinlin gitlab 代码托管好像也这样?不过这个权限非常不适合做 sass 服务的,internal 很多人会理解成组织内部
    liubin
        32
    liubin  
       2019-02-22 23:04:07 +08:00
    一样的 GitLab,不一样的 Internal https://mp.weixin.qq.com/s/9f3a7_7ufKyVrmhojcOjUw
    szopen
        33
    szopen  
       2019-02-23 10:04:13 +08:00
    这个帖子怎么没人洗地
    水军没上班?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2920 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 03:11 · PVG 11:11 · LAX 19:11 · JFK 22:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.